“永恒之蓝”的余波未平…
据腾讯安全御见威胁情报中心披露:有团伙利用 Lcy2Miner挖矿木马感染超过2万台电脑,北京、广东受害最严重,影响众多行业,其中,互联网服务、批发零售业、科技服务业位居前三。
目前,该团伙通过挖矿获得门罗币147个,市值约6.5万元人民币。
整个攻击过程如下:
首先,攻击者会搭建多个HFS服务器提供木马下载,并在其服务器web页面构造IE漏洞攻击代码。当存在漏洞的电脑被诱骗访问攻击网站时,即触发漏洞下载大灰狼远程控制木马。
然后, 由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块,并利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播。
企业网络中一台终端中招,就会导致攻击者利用永恒之蓝漏洞在内网继续攻击传播,让更多终端电脑被安装挖矿木马。不幸的是,永恒之蓝系列攻击工具是在2年半之前公开并发布漏洞补丁。
最终,攻击者通过组建僵尸网络挖矿牟利。
腾讯安全称,“中毒电脑被安装大灰狼远控木马,可以执行搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能, 对企业信息安全构成严重威胁。”
根据分析,被利用的漏洞是CVE-2014-6332,这是微软2014年11月11日发布的一个IE浏览器漏洞,官方定义为远程代码执行漏洞,影响IE版本IE3-IE11。
可惜的是,这个五年前就发布的高危漏洞,仍然有用户没有进行修补,结果造成数万台电脑中招。
腾讯安全建议用户修复该团伙利用的已知漏洞,包括IE漏洞和永恒之蓝系列漏洞。
1.针对MS010-17 “永恒之蓝”漏洞的防御:
服务器暂时关闭不必要的端口(如135、139、445) ,方法参考该文章
2.下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞:
XP、Windows Server 2003、Win8等系统访问此文;
Win7、Win8.1、Windows Server 2008、Windows 10、Windows Server 2016等系统访问此文
3.修复漏洞CVE-2014-6332,参考微软官方公告安装补丁
关于攻击详细分析,可查看文章。