“永恒之蓝”的余波未平…
据腾讯安全御见威胁情报中心披露:有团伙利用 Lcy2Miner 挖矿木马感染超过 2 万台电脑,北京、广东受害最严重,影响众多行业,其中,互联网服务、批发零售业、科技服务业位居前三。
目前,该团伙通过挖矿获得门罗币147 个,市值约 6.5 万元人民币。
整个攻击过程如下:
首先,攻击者会搭建多个HFS服务器提供木马下载,并在其服务器 web 页面构造 IE 漏洞攻击代码。当存在漏洞的电脑被诱骗访问攻击网站时,即触发漏洞下载大灰狼远程控制木马。
然后, 由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块,并利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播。
企业网络中一台终端中招,就会导致攻击者利用永恒之蓝漏洞在内网继续攻击传播,让更多终端电脑被安装挖矿木马。不幸的是,永恒之蓝系列攻击工具是在2年半之前公开并发布漏洞补丁。
最终,攻击者通过组建僵尸网络挖矿牟利。
腾讯安全称,“中毒电脑被安装大灰狼远控木马,可以执行搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能, 对企业信息安全构成严重威胁。”
根据分析,被利用的漏洞是 CVE-2014-6332,这是微软 2014 年 11 月 11 日发布的一个 IE 浏览器漏洞,官方定义为远程代码执行漏洞,影响 IE 版本 IE3-IE11。
可惜的是,这个五年前就发布的高危漏洞,仍然有用户没有进行修补,结果造成数万台电脑中招。
腾讯安全建议用户修复该团伙利用的已知漏洞,包括 IE 漏洞和永恒之蓝系列漏洞。
1.针对 MS010-17 “永恒之蓝”漏洞的防御:
服务器暂时关闭不必要的端口(如 135、139、445) ,方法参考该文章
2.下载并更新 Windows 系统补丁,及时修复永恒之蓝系列漏洞:
XP、Windows Server 2003、Win8 等系统访问此文;
Win7、Win8.1、Windows Server 2008、Windows 10、Windows Server 2016 等系统访问此文
3.修复漏洞 CVE-2014-6332,参考微软官方公告安装补丁
关于攻击详细分析,可查看文章。
InfoQ编辑
Java 避坑指南:Java 高手笔记代码篇
本迷你书包括 86 个业务开发中常见踩坑点。每一个知识点都相当的实用,是程序员业务开发中的必备避坑指南...
评论