騰訊智慧安全：2018年最活躍的Satan勒索病毒“改行”挖礦

攜帶“永恒之藍(lán)”漏洞攻擊工具包、善于Boss反序列化漏洞、JBoss默認(rèn)配置漏洞等漏洞攻擊，精通中英韓三國(guó)語(yǔ)言……作為當(dāng)前最為活躍的勒索病毒，撒旦整個(gè)2018年一次又一次地完成升級(jí)改造，廣大網(wǎng)民深受其害。不止于此，近期騰訊智慧安全御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，撒旦(Satan)勒索病毒新變種竟然放棄勒索，“改行”從事挖礦。目前來(lái)看，這一行為極有可能給用戶網(wǎng)絡(luò)安全帶來(lái)更大的安全隱患。

此次，撒旦新變種在傳播方面“煞費(fèi)苦心”，新增Apache Struts2漏洞攻擊模塊，攻擊范圍進(jìn)一步得到提升。同時(shí)，該病毒變種通過(guò)挖礦木馬下載模塊不斷地向服務(wù)器查詢木馬版本信息，對(duì)自身進(jìn)行實(shí)時(shí)更新，上傳機(jī)器系統(tǒng)版本、CPU信息、顯卡信息、顯卡數(shù)量、以及用戶名到服務(wù)器，然后根據(jù)不同的系統(tǒng)植入不同版本的挖礦木馬。

　　(圖：Satan病毒變種攻擊挖礦流程)

騰訊智慧安全技術(shù)安全專家對(duì)于撒旦“改行”挖礦的行為進(jìn)行初步預(yù)測(cè)，由于此前撒旦的算法存在“缺陷”，可以被進(jìn)行全部解密，從而使得勒索作者無(wú)法收到贖金。因此本次變種開(kāi)始改行挖礦，不僅可以穩(wěn)定的獲得收入，還可以避免很快的暴露。當(dāng)然，也可能是作者在“憋大招”，徹底地重構(gòu)加解密模塊以使其難以被解密，因此開(kāi)發(fā)過(guò)程可能需要一點(diǎn)時(shí)間，先拿挖礦來(lái)做過(guò)渡。騰訊智慧安全御見(jiàn)威脅情報(bào)中心還需進(jìn)一步對(duì)撒旦病毒進(jìn)行監(jiān)測(cè)。

作為2018年最為活躍的勒索病毒之一，撒旦絲毫沒(méi)有停止攻擊的腳步，反而是不斷進(jìn)行升級(jí)優(yōu)化，持續(xù)與安全軟件進(jìn)行持久對(duì)抗。今年4月，撒旦攜手“永恒之藍(lán)”漏洞攻擊工具卷土重來(lái)，針對(duì)服務(wù)器的數(shù)據(jù)庫(kù)進(jìn)行攻擊加密，短時(shí)間內(nèi)感染大量存在漏洞的機(jī)器;6月，騰訊智慧安全御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn)撒旦的傳播方式升級(jí)，不光使用永恒之藍(lán)漏洞攻擊，還攜帶更多漏洞攻擊模塊：包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默認(rèn)配置漏洞(CVE-2010-0738)、Tomcat任意文件上傳漏洞(CVE-2017-12615)、Tomcat web管理后臺(tái)弱口令爆破、Weblogic WLS 組件漏洞(CVE-2017-10271)，使該病毒的感染擴(kuò)散能力、影響范圍得以顯著增強(qiáng)。

盡管騰訊智慧安全御見(jiàn)威脅情報(bào)中心曾多次曝光撒旦變種的動(dòng)向，并開(kāi)發(fā)了4.2版之前的解密工具，為多家企業(yè)客戶成功解密，但目前撒旦頻頻升級(jí)本版，危害影響仍不容小覷。為此，騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人、騰訊電腦管家安全專家馬勁松提醒企業(yè)用戶，定期對(duì)重要文件、重要業(yè)務(wù)數(shù)據(jù)做好非本地備份;盡量關(guān)閉不必要的端口、不必要的文件共享;采用高強(qiáng)度的密碼，防止被黑客暴力破解。推薦使用騰訊御點(diǎn)終端安全管理系統(tǒng)，可輕松實(shí)現(xiàn)終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況，保護(hù)企業(yè)安全。

　　(圖：企業(yè)級(jí)安全防御產(chǎn)品騰訊御點(diǎn))

不僅如此，騰訊智慧安全還建立了“云、管、端”一體化綜合立體防護(hù)解決方案，通過(guò)騰訊御點(diǎn)終端安全管理系統(tǒng)、騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)、騰訊御見(jiàn)安全態(tài)勢(shì)感知平臺(tái)和騰訊御知網(wǎng)絡(luò)空間風(fēng)險(xiǎn)雷達(dá)等系列產(chǎn)品在終端安全、邊界安全、網(wǎng)站監(jiān)測(cè)、統(tǒng)一監(jiān)控方面為醫(yī)療機(jī)構(gòu)建立一套集風(fēng)險(xiǎn)監(jiān)測(cè)、分析、預(yù)警、響應(yīng)和可視化為一體的安全體系，為企業(yè)用戶筑牢不可攻破的網(wǎng)絡(luò)安全防線。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。