近日,騰訊安全御見威脅情報中心捕獲到一個利用多種攻擊方式在內網傳播的挖礦木馬“快Go礦工”。該木馬利用永恆之藍漏洞(MS17-010)攻擊內網,並在中毒電腦中植入挖礦和遠控木馬。據統計,該病毒攻擊地區分佈在全國各地,廣東、江蘇、河南、北京是受到攻擊的重災區。從行業來看,受病毒影響最嚴重的是IT行業,約佔21%,目前已有近萬臺裝置受到波及。
因該病毒在使用的C2域名中包含“kuai-Go”,騰訊安全技術專家將其命名為“快Go礦工”。對於已中招的企業使用者,建議儘快安裝“永恆之藍”等漏洞相關補丁,推薦使用騰訊御點終端安全管理系統進行查殺。
(圖:騰訊御點終端安全管理系統可實時攔截該木馬)
據騰訊安全技術專家介紹,該木馬利用雙脈衝星、永恆浪漫、永恆之藍等攻擊工具,對企業網路發動攻擊,同時在被感染電腦中進行蒐集資訊、上傳下載檔案、鍵盤記錄、執行任意程式等操作,中毒電腦面臨機密資訊洩露風險。截止目前,該木馬已挖礦獲得門羅幣242.7個,摺合人民幣9萬餘元。
(圖:“快Go礦工”礦池挖礦收益)
此次“快Go礦工”利用的漏洞,正是曾被WannaCry等多種著名勒索病毒使用的永恆之藍漏洞。自2017年微軟釋出永恆之藍相關漏洞補丁之後,截至目前,仍有約30%未修復的企業使用者面臨被攻擊的風險,給網路安全埋下了巨大隱患。
事實上,不法黑客對易用又穩定的漏洞可謂愛不釋手,典型的當屬永恆之藍系列漏洞。2017年5月,不法黑客利用該漏洞主動傳播蠕蟲式勒索病毒,開啟了以WannaCry為代表的勒索病毒時代,有150多個國家和地區的超過20萬臺電腦遭到侵襲,包括政府、醫療、交通在內的多個部門受到影響。2018年3月,騰訊安全御見威脅情報中心監測發現,WannaMiner挖礦木馬利用永恆之藍漏洞在區域網內傳播,致使國內600多家企業超3萬臺電腦遭感染。2018年12月,借用某公司軟體升級通道傳播的某個永恆之藍下載器,經歷了20多個版本的迭代,依然活躍在病毒界,對企業安全造成不小威脅。
面對此次來勢洶洶的“快Go礦工”木馬,騰訊安全反病毒實驗室負責人馬勁鬆提醒企業使用者注意內網安全防範,儘量關閉135、139、445等不必要的網路埠;及時下載並更新Windows系統補丁並修復永恆之藍系列漏洞,或嘗試手動方法清除;同時對重要檔案和資料(資料庫等資料)進行定期非本地備份。
此外,騰訊安全技術專家建議,企業使用者可全網安裝騰訊御界高階威脅檢測系統,檢測未知黑客的各種可疑攻擊行為。騰訊御界高階威脅檢測系統,是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量資料,研發出的獨特威脅情報和惡意檢測模型系統。能及時阻止不法黑客入侵,全方位保障企業自身的網路安全。
(圖:騰訊御界高階威脅檢測系統)