“永恆之藍”的餘波未平…
據騰訊安全御見威脅情報中心披露:有團伙利用 Lcy2Miner挖礦木馬感染超過2萬臺電腦,北京、廣東受害最嚴重,影響衆多行業,其中,互聯網服務、批發零售業、科技服務業位居前三。
目前,該團伙通過挖礦獲得門羅幣147個,市值約6.5萬元人民幣。
整個攻擊過程如下:
首先,攻擊者會搭建多個HFS服務器提供木馬下載,並在其服務器web頁面構造IE漏洞攻擊代碼。當存在漏洞的電腦被誘騙訪問攻擊網站時,即觸發漏洞下載大灰狼遠程控制木馬。
然後, 由遠控木馬下載門羅幣挖礦木馬和“永恆之藍”漏洞攻擊模塊,並利用“永恆之藍”漏洞攻擊工具在企業內網攻擊傳播。
企業網絡中一臺終端中招,就會導致攻擊者利用永恆之藍漏洞在內網繼續攻擊傳播,讓更多終端電腦被安裝挖礦木馬。不幸的是,永恆之藍系列攻擊工具是在2年半之前公開併發布漏洞補丁。
最終,攻擊者通過組建僵屍網絡挖礦牟利。
騰訊安全稱,“中毒電腦被安裝大灰狼遠控木馬,可以執行蒐集信息、上傳下載文件、鍵盤記錄、執行任意程序等多種功能, 對企業信息安全構成嚴重威脅。”
根據分析,被利用的漏洞是CVE-2014-6332,這是微軟2014年11月11日發佈的一個IE瀏覽器漏洞,官方定義爲遠程代碼執行漏洞,影響IE版本IE3-IE11。
可惜的是,這個五年前就發佈的高危漏洞,仍然有用戶沒有進行修補,結果造成數萬臺電腦中招。
騰訊安全建議用戶修復該團伙利用的已知漏洞,包括IE漏洞和永恆之藍系列漏洞。
1.針對MS010-17 “永恆之藍”漏洞的防禦:
服務器暫時關閉不必要的端口(如135、139、445) ,方法參考該文章
2.下載並更新Windows系統補丁,及時修復永恆之藍系列漏洞:
XP、Windows Server 2003、Win8等系統訪問此文;
Win7、Win8.1、Windows Server 2008、Windows 10、Windows Server 2016等系統訪問此文
3.修復漏洞CVE-2014-6332,參考微軟官方公告安裝補丁
關於攻擊詳細分析,可查看文章。