“永恒之藍”漏洞利用再現(xiàn) 騰訊御見捕獲WannaMiner挖礦木馬

近年來，伴隨比特幣等區(qū)塊鏈資產(chǎn)價格大幅飆升，巨額利益的刺激，數(shù)字貨幣挖礦的熱潮隨之興起。與此同時，在不法黑客的操縱下，越來越多的惡意軟件將控制電腦挖礦視為終極目標。

近日，騰訊安全御見威脅情報中心捕獲一個名為WannaMiner的挖礦木馬，該木馬利用“永恒之藍”漏洞在局域網(wǎng)內攻擊傳播，將染毒機器構建成一個健壯的僵尸網(wǎng)絡，支持內網(wǎng)自更新，長期潛伏在電腦中以挖取門羅幣。截至目前，國內已有近600家企業(yè)逾3萬臺電腦受到感染。騰訊安全御見威脅情報中心提醒各企業(yè)用戶提高警惕，同時可以選擇騰訊企業(yè)安全“御點”防御此類攻擊。

(圖：騰訊企業(yè)安全“御點”)

騰訊安全御見威脅情報中心監(jiān)測發(fā)現(xiàn)，該病毒在2018年初開始傳播并呈現(xiàn)上升趨勢，受害者遍布科技公司、制造企業(yè)和政府機關等。其中醫(yī)療、教育等公共事業(yè)型單位一旦被攻擊容易造成較大影響，建議相關單位盡快部署防御措施。

(圖：受感染行業(yè)分布)

騰訊安全御見威脅情報中心對WannaMiner挖礦木馬進行溯源分析發(fā)現(xiàn)，該木馬主要通過“永恒之藍”漏洞在局域網(wǎng)內攻擊傳播。臭名昭著的“永恒之藍”漏洞曾經(jīng)令企業(yè)網(wǎng)管聞之色變。2017年5月席卷全球的WannaCry勒索病毒利用的就是這個高危漏洞。據(jù)相關報道，該病毒影響了超過150個國家，造成的全球經(jīng)濟損失高達80億美元。

與WannaCry不同的是，騰訊安全御見威脅情報中心此次發(fā)現(xiàn)的WannaMiner僅是利用“永恒之藍”漏洞傳播門羅幣挖礦病毒，而不是加密破壞數(shù)據(jù)。挖礦病毒入侵后，用戶最直觀的感受就是電腦性能明顯下降、發(fā)熱量上升、風扇強化散熱噪音增大。有經(jīng)驗的網(wǎng)民打開電腦任務管理器，會發(fā)現(xiàn)CPU和GPU占用率飆升到接近100%。由于電腦性能明顯下降，會嚴重影響企業(yè)辦公網(wǎng)絡的正常運行。

此外，騰訊安全御見威脅情報中心的研究人員指出，WannaMiner木馬能夠利用“永恒之藍”漏洞在局域網(wǎng)內主動攻擊傳播，說明至今仍有部分企業(yè)由于網(wǎng)絡安全管理措施不足，遲遲未能修補這些高危漏洞，造成病毒木馬入侵后迅速在局域網(wǎng)內擴散。由于其在內網(wǎng)傳播過程中通過SMB進行內核攻擊，可能造成企業(yè)內網(wǎng)大量機器出現(xiàn)藍屏現(xiàn)象。值得慶幸的是，因普通個人電腦大多通過Windows安全更新和騰訊電腦管家等安全軟件修補過安全漏洞，基本不受WannaMiner影響。

對此，騰訊安全御見威脅情報中心建議各企業(yè)用戶，如果發(fā)現(xiàn)疑似WannaMiner挖礦木馬，及時定位和隔離已中毒機器，可通過掃描26931端口判斷，如該端口開放則主機已被感染;如需修補內網(wǎng)所有未安裝補丁的電腦，可訪問Microsoft目錄更新頁面(網(wǎng)址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)下載補丁程序，其中WinXP，Windows Server 2003用戶可訪問https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。為更好地對抗挖礦木馬等網(wǎng)絡安全威脅，騰訊安全御見威脅情報中心建議全網(wǎng)安裝專業(yè)終端安全管理軟件，如騰訊御點(下載地址：https://s.tencent.com/product/yd/index.html)，由管理員對全網(wǎng)進行批量殺毒和安裝補丁，避免造成不必要的損失。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。