2017年5月，利用“永恒之藍”漏洞傳播的“WannaCry”勒索病毒肆虐，席卷全球150多個國家，給全球經(jīng)濟帶來巨大損失。時隔一年，雖然“WannaCry”已經(jīng)被打敗，“永恒之藍”漏洞卻余威尚在，關于企事業(yè)單位因未安裝補丁或部署該漏洞的防護類措施而中招的消息頻頻傳出。

　　近日，騰訊御見威脅情報中心捕獲一款門羅幣挖礦木馬，正是通過“永恒之藍”漏洞進行傳播，企業(yè)服務器一旦被其攻陷，就會下載挖礦木馬包并運行。該木馬于今年3月開始活動，近期表現(xiàn)更加活躍，其挖礦收入已高達120萬人民幣，騰訊御見威脅情報中心將其命名為“微笑”。

　　(圖：騰訊電腦管家實時攔截“微笑”木馬)

　　在微笑的假面下，這個木馬的攻擊性卻很強。“微笑”木馬通過掃描器對企業(yè)網(wǎng)絡端口進行掃描，并啟動“永恒之藍”攻擊模塊，嘗試攻擊已開放445端口的主機。目標服務器被成功攻陷后將訪問指定地址，下載文件名為weilai.exe或weixiao.exe的木馬包并運行，將企業(yè)設備變成木馬作者的挖礦機器。

　　(圖：“微笑”木馬攻擊流程)

　　除挖礦外，“微笑”木馬的鍵盤記錄模塊還會竊取用戶隱私。其在后臺靜默上傳用戶的軟件安裝列表、寬帶用戶名密碼及一些硬件信息，甚至還能獲取用戶IP對應的公司或精確位置，對企業(yè)信息安全造成嚴重威脅。

　　(圖：“微笑”木馬獲取企業(yè)精確位置)

　　通過對“微笑”木馬攻擊行為進行追蹤，騰訊御見威脅情報中心成功鎖定了該木馬指定地址的域名注冊信息趙*，發(fā)現(xiàn)該木馬使用的錢包已經(jīng)累計挖取846枚門羅幣。按照最新匯率計算，折合人民幣約120萬元，這意味著，不法黑客利用微笑木馬在短短半年多時間內(nèi)就“賺”到上百萬元。

　　“永恒之藍”本是美國國家安全局NSA旗下的黑客組織Equation Group開發(fā)的網(wǎng)絡攻擊工具，它能夠掃描并利用運行在TCP 445端口之上的Windows SMB文件共享協(xié)議的漏洞，上傳勒索軟件等惡意軟件到Windows系統(tǒng)。近一年來，從撒旦(Satan)勒索病毒、WannaMiner挖礦木馬到“微笑”木馬，“永恒之藍”漏洞已經(jīng)成為被利用程度最高的安全漏洞之一。

　　騰訊企業(yè)安全技術專家建議廣大企業(yè)用戶，如在企業(yè)內(nèi)網(wǎng)發(fā)現(xiàn)疑似“微笑”木馬襲擊，應及時定位和隔離已中毒機器;迅速安裝“永恒之藍”漏洞補丁，手動安裝“永恒之藍”漏洞補丁，可訪問補丁下載鏈接https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx，其中WinXP、Windows Server 2003用戶可訪問https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598;全網(wǎng)安裝專業(yè)終端安全管理軟件，如騰訊企業(yè)安全“御點”(下載地址https://s.tencent.com/product/yd/index.html)，由管理員對全網(wǎng)進行批量殺毒和安裝補丁，后續(xù)可及時更新各類系統(tǒng)高危補丁，避免造成不必要的損失。

　　(圖：騰訊御點終端安全管理系統(tǒng))

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內(nèi)容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。