本帖最后由 简简单单chao 于 2020-2-18 10:22 编辑
新冠疫情拉开了数字化时代远程办公的大幕,在当下全民抗疫的关键时刻,互联网信息系统在疫情防控医疗指挥及维系社会正常运转中,发挥着至关重要的作用。
然而,非常时期的网络安全威胁也是如影随形。近日,360安全大脑监测到一类利用BlueKeep漏洞(CVE-2019-0708)传播的新型挖矿木马,该木马感染用户机器后,会通过大肆挖取门罗币获取利益,并在其中增加后门账户以进一步控制中招机器。
BlueKeep漏洞攻击再掀风浪 Windows系统安全再度拉响警报
2019年5月14日,Windows被曝出堪比“永恒之蓝”的远程高危漏洞Bluekeep(CVE-2019-0708)。自其发布以来,360安全大脑及微软便对Bluekeep漏洞保持着长期追踪与实时监测。
事件爆发后,2019年5月22日360安全大脑便全球独家推出RDP远程漏洞热补丁工具down.360safe.com/HotFix_CVE-2019-0708.exe无需重启服务器,即可自动免疫此高危漏洞攻击,保护服务器数据及个人用户信息安全。
然而,2019年9月7日Bluekeep漏洞EXP代码的公开又给了黑客可乘之机。同年11月,大规模利用BlueKeep漏洞在目标系统上安装恶意挖矿程序,致使遭攻击电脑沦为“矿机”,法国、俄罗斯、西班牙、乌克兰、德国、英国等多个国家均有袭击。
如今时隔数月,借助该漏洞发起的挖矿攻击却再次来犯,威胁可谓有增无减。要知道,当下抗击新型冠状病毒工作已进入战斗关键时期,各大医疗系统及复工在即的企业办公系统一旦遭遇该木马攻击,必将带来无法估量的损失,这对疫情防控来说无疑是雪上加霜。
疫情抗击关键时刻木马伺机入侵 360安全大脑深度剖析攻击始末
对此,360安全大脑再度秒级响应全面拦截该木马攻击,并进一步深度追踪溯源,剖析还原了该木马的攻击路径。如图所示,该木马通过BlueKeep漏洞入驻用户电脑后,会首先向用户电脑中下发两个木马模块-preft.bat和postre.bat。
其中preft.bat会在受感染的机器上增加SysUpdate后门,以供黑客进一步控制该机器。
而另一病毒模块postre.bat则负责将系统根目录添加到杀毒软件的排除项中,并将后续rtlrev.vbs等恶意脚本拷贝到系统根目录下执行:
恶意脚本rtlrev.vbs下载并执行dr.vbs。值得一提的是,通过该恶意脚本下载的压缩包经过了两层压缩,可以起到简单的免杀作用。
而进一步通过dr.vbs下载执行的病毒模块dmar.vbs,则会通过判断当前操作系统位数是否为64位来确认运行。
随后下载挖矿程序与配置,创建挖矿的计划任务,调起矿机开始挖矿。
进程相关命令行参数
XMRig 5.5.1版本的矿机
用户一旦中招,电脑不仅会出现CPU占用率飙升、运行缓慢的现象,还面临着被黑客全面接管控制的风险。痛定思痛,如果说厂商的安全提示及防护措施是预防Bluekeep漏洞攻击的基本保障和前提,那么广大用户良好的网络安全意识则是这场攻防战斗中最为重要的一环。
因此,为避免这类攻击态势再度蔓延,360安全大脑建议广大用户做好以下防护措施,保护抗疫期间的电脑及财产安全:
1,与普通的木马攻击不同,使用补丁修复漏洞,对漏洞攻击的防护效果是最好的。强烈建议广大网络管理员尽快安装360安全卫士或360高危漏洞免疫工具360.cn/webzhuanti/mianyigongju.html修复该漏洞; 2、提高安全意识,不随意点击来源不明的邮件、文档、链接等,并及时为操作系统、IE、Flash等常用软件打好补丁。 3、避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。 4、360安全卫士支持拦截与查杀此类木马病毒,建议广大用户安装查杀。
| 
京公网安备 11000002002063号
京ICP备08010314号-6 Copyright©2005- 360.com 版权所有 360互联网安全中心
安全卫士
极速浏览器
360壁纸
360摄像机
360动态
手机卫士
评论
直达楼层