一個5年前未修補的高危漏洞,讓超2萬臺電腦中招

“永恆之藍”的餘波未平…

據騰訊安全御見威脅情報中心披露:有團伙利用 Lcy2Miner挖礦木馬感染超過2萬臺電腦,北京、廣東受害最嚴重,影響衆多行業,其中,互聯網服務、批發零售業、科技服務業位居前三。

目前,該團伙通過挖礦獲得門羅幣147個,市值約6.5萬元人民幣。

整個攻擊過程如下:

首先,攻擊者會搭建多個HFS服務器提供木馬下載,並在其服務器web頁面構造IE漏洞攻擊代碼。當存在漏洞的電腦被誘騙訪問攻擊網站時,即觸發漏洞下載大灰狼遠程控制木馬。

然後, 由遠控木馬下載門羅幣挖礦木馬和“永恆之藍”漏洞攻擊模塊,並利用“永恆之藍”漏洞攻擊工具在企業內網攻擊傳播。

企業網絡中一臺終端中招,就會導致攻擊者利用永恆之藍漏洞在內網繼續攻擊傳播,讓更多終端電腦被安裝挖礦木馬。不幸的是,永恆之藍系列攻擊工具是在2年半之前公開併發布漏洞補丁。

最終,攻擊者通過組建僵屍網絡挖礦牟利。

騰訊安全稱,“中毒電腦被安裝大灰狼遠控木馬,可以執行蒐集信息、上傳下載文件、鍵盤記錄、執行任意程序等多種功能, 對企業信息安全構成嚴重威脅。”

根據分析,被利用的漏洞是CVE-2014-6332,這是微軟2014年11月11日發佈的一個IE瀏覽器漏洞,官方定義爲遠程代碼執行漏洞,影響IE版本IE3-IE11。

可惜的是,這個五年前就發佈的高危漏洞,仍然有用戶沒有進行修補,結果造成數萬臺電腦中招。

騰訊安全建議用戶修復該團伙利用的已知漏洞,包括IE漏洞和永恆之藍系列漏洞。

1.針對MS010-17 “永恆之藍”漏洞的防禦:

服務器暫時關閉不必要的端口(如135、139、445) ,方法參考該文章

2.下載並更新Windows系統補丁,及時修復永恆之藍系列漏洞:

XP、Windows Server 2003、Win8等系統訪問此文

Win7、Win8.1、Windows Server 2008、Windows 10、Windows Server 2016等系統訪問此文

3.修復漏洞CVE-2014-6332,參考微軟官方公告安裝補丁

關於攻擊詳細分析,可查看文章

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章