关闭

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 会员商城 | 360手机官网 | 社区客户端

推荐论坛版块手机卫士十周年活动众测会员商城积分商城
本帖最后由 飞机飞行 于 2019-8-24 13:53 编辑

2017年,借助“永恒之蓝”的WannaCry勒索病毒暴击全球;而近一年时间里,同样搭载“永恒之蓝”的下载器木马历经数十次更新,多次濒临爆发边缘。
最近,360安全大脑就再度监测到此木马出现大规模更新,并且攻击趋势显著增长。不过,广大用户不必担心,360安全大脑已国内首家支持此木马最新版本的拦截查杀,第一时间守护用户网络安全。

下载器木马突增RDP爆破攻击
集结四大攻击模式

从360安全大脑溯源分析来看,此轮呈现上涨趋势的“永恒之蓝”下载器木马攻击,始于8月15日前后的一次大规模更新,该木马在原有基础上增加了RDP爆破模块。360安全专家分析指出,增加RDP爆破模块后,意味着下载器木马可接收控制模块提供的弱口令以及目标机器IP地址,对目标机器发起爆破攻击。爆破成功后会在目标机器上执行恶意Powershell代码,完全控制目标机器并利用目标机器资源进行门罗币挖矿。至此,该木马的传播模块已经集成了“永恒之蓝”漏洞攻击、SMB爆破攻击、MsSQL爆破攻击、RDP爆破攻击四种攻击模式。


360社区

360社区



图1 “永恒之蓝”下载器木马近一个月攻击趋势


从病毒拆解情况来看,新增RDP爆破模块是复用了FreeRDP代码才得以实现。而在病毒运行原理上,木马会通过控制服务器下载RDP爆破程序并保存在临时文件夹下,文件名一般为wfreerdp.exe。wfreerdp.exe文件作为RDP爆破模块,将与原有的“永恒之蓝”模块、ipc爆破模块和MsSQL爆破模块共存,以此对网络中存在漏洞或者弱口令的设备发起攻击。从360安全大脑给出的弱口令字典来看,包括saadmin、123.com、Huawei@123、1qaz@WSX等在内的百余个弱口令都在攻击范围之内,威胁十分严峻。

360社区

360社区



图2 RDP爆破模块部分代码示意图

RDP模块复用了其他模块使用的弱口令字典 ,字典中包含的弱口令如下表所示:

弱口令

saadmin

123456

password

PASSWORD

123.com

admin@123

Aa123456

qwer12345

Huawei@123

123@abc

golden

123!@#qwe

1qaz@WSX

Ab123

1qaz!QAZ

Admin123

Administrator

Abc123

Admin@123

999999

Passw0rd

123qwe!@#

football

welcome

1

12

21

123

321

1234

12345

123123

123321

111111

654321

666666

121212

000000

222222

888888

1111

555555

1234567

12345678

123456789

987654321

admin

abc123

abcd1234

abc@123

p@ssword

P@ssword

p@ssw0rd

P@ssw0rd

P@SSWORD

P@SSW0RD

P@w0rd

P@word

iloveyou

monkey

login

passw0rd

master

hello

qazwsx

password1

qwerty

baseball

qwertyuiop

superman

1qaz2wsx

fuckyou

123qwe

zxcvbn

pass

aaaaaa

love

administrator

qwe1234A

qwe1234a


123123123

1234567890

88888888

111111111

112233

a123456

123456a

5201314

1q2w3e4r

qwe123

a123456789

123456789a

dragon

sunshine

princess

!@#$%^&*

charlie

aa123456

homelesspa

1q2w3e4r5t

sa

sasa

sa123

sql2005

sa2008

abc

abcdefg

sapassword

Aa12345678

ABCabc123

sqlpassword

sql2008

11223344

admin888

qwe1234

A123456




数十次更新后威胁堪比“定时炸弹”

360安全大脑国内首家拦截查杀
2018年底至今,在360安全大脑持续追踪的大半年时间里,下载器木马凭借“可随时更新木马组件”的灵活性,历经数十次更新迭代,已从早期的初级版本变身为现今兼具RDP爆破模块与“永恒之蓝”漏洞双重威力的难缠木马。

病毒发布与重大更新的时间点:
时间

重大更新阶段

2018/12/13

病毒最初版本制作完成

2018/12/14

病毒开始传播

2018/12/19

第一次大规模更新,下发Powershell后门

2019/1/7

更新部分文件,修改了CC服务器

2019/1/25

第二次大规模传播,新增了“口令爆破”传播方式

2019/2/23

木马的传播模块新增了MsSQL数据库弱口令爆破功能

2019/3/5

脱离”驱动人生”框架,独立运营

2019/8/15

第三次大规模传播,新增“RDP爆破”传播方式

下载器木马频繁升级,攻击力“扶摇直上”,广大用户该如何抵挡木马的“奇袭”?在360安全大脑的赋能下,360安全卫士不仅首家监测到此木马新一轮的更新,并且无需升级即可拦截查杀;除此以外,360安全卫士还带有“永恒之蓝”漏洞免疫功能,可进一步保护用户免遭木马与“永恒之蓝”漏洞的双重威胁。

360社区

360社区

此外,360安全专家针对此次病毒的攻击模式,也给出了权威的网络安全防护建议:

1. 360安全卫士能够第一时间拦截“永恒之蓝”下载器木马的RDP爆破模块,建议广大用户及时前往www.weishi .360.cn下载安装360安全卫士保护计算机安全;

2. 尽量使用包含数字、大小写字母、特殊字符等多个字符组成的较高强度的系统登录密码与数据库登录密码,不要使用弱口令; 请广大的管理员通过弱口令列表进行自检,防御“永恒之蓝”下载器木马的爆破攻击;
3. 及时安装系统和重要软件的安全补丁,修补系统漏洞。
来源 360安全卫士

商城活动|儿童用品专场,玩具满199元减100元

共 2 个关于“永恒之蓝”下载器木马新增RDP爆破模块,360安全大脑国内首家拦截查杀!的回复 最后回复于 2019-8-25 06:50

评论

直达楼层

望不到尽头 VIP认证 LV11.大校 发表于 2019-8-24 08:21 | 显示全部楼层 | 私信
支持
来自ONEPLUS A5010(360社区3.5.4版)
郯城知县 VIP认证 LV10.上校 发表于 2019-8-25 06:50 | 显示全部楼层 | 私信
干就完了
来自360手机N7(360社区3.5.4版)
您需要登录后才可以回帖 登录 | 注册

本版积分规则

飞机飞行 超级版主

粉丝:160 关注:12 积分:142893

精华:240 金币:170108 经验:115451

最后登录时间:2019-11-19

安全卫士10周年纪念 版主 公测360摄像机标准版 儿童五周年纪念章 360家庭防火墙APP内测 公测360摄像机户外版 360手机f4 公测360摄像机变焦宠物版 公测360家庭防火墙V5S 公测摄像机D916 家庭安防套装 防火墙V5S增强版公测勋章 360粉丝达人勋章 360会员商城青铜会员

私信 加好友

最新活动

商城活动

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

        关注360粉丝团,回复:抽奖,每周抽一个锦鲤大奖,等啥呢?扫它!!!

        快速回复 返回顶部 返回列表