NSABuffMiner挖礦木馬霸占校園服務(wù)器，已非法獲利115萬元

金秋九月，又是一年開學(xué)季，全國各地大中小學(xué)密集迎來“開學(xué)潮”，同學(xué)們陸續(xù)重返校園，而不法分子也開始蠢蠢欲動，盯上了“開學(xué)經(jīng)濟(jì)”，試圖利用非法手段來獲取巨額收益。近日，騰訊智慧安全御見威脅情報中心接到用戶反饋，稱學(xué)校內(nèi)網(wǎng)水卡管理服務(wù)器頻繁出現(xiàn)崩潰情況，經(jīng)學(xué)校網(wǎng)絡(luò)管理人員系統(tǒng)排查，并未發(fā)現(xiàn)有異常問題，初步懷疑內(nèi)網(wǎng)遭到不法黑客攻擊，因此向騰訊智慧安全御見威脅情報中心求助。

經(jīng)騰訊安全技術(shù)專家檢測發(fā)現(xiàn)，該學(xué)校內(nèi)網(wǎng)水卡管理服務(wù)器遭rundllhost.exe挖礦木馬入侵，屬于NSASrvanyMiner挖礦木馬的變種，利用NSA武器工具在內(nèi)網(wǎng)攻擊傳播。由于該服務(wù)器存在未修復(fù)的ms17-010漏洞，因此受到攻擊被利用挖礦。經(jīng)查詢錢包信息發(fā)現(xiàn)，截至目前，NSABuffMiner挖礦木馬已挖礦獲得門羅幣1217個，非法獲利高達(dá)115萬元人民幣。

(圖：NSABuffMiner挖礦木馬非法獲利)

目前，騰訊智慧安全御見威脅情報中心已對該挖礦木馬進(jìn)行全面攔截并查殺，并提醒廣大企業(yè)用戶及時修復(fù)高危漏洞。不法黑客一旦利用這些系統(tǒng)漏洞，除了會植入挖礦木馬外，用戶電腦還可能被植入勒索病毒、成為竊取資料的工具，造成更加嚴(yán)重的后果。

據(jù)騰訊安全技術(shù)專家介紹，NSASrvanyMiner挖礦木馬新變種發(fā)動攻擊時會先關(guān)閉防火墻，啟動CPUInfo.exe掃描內(nèi)網(wǎng)機(jī)器的445端口，如果端口處于打開狀態(tài)則利用多個NSA武器工具對用戶電腦進(jìn)行攻擊。同時該挖礦木馬啟動礦機(jī)時使用NSSM服務(wù)管理工具，將礦機(jī)安裝為系統(tǒng)服務(wù)，此工具具有自動守護(hù)目標(biāo)服務(wù)進(jìn)程功能，能維持挖礦進(jìn)程運行，可躲避部分殺軟檢測。

值得一提的是，該挖礦木馬為了保證對挖礦資源的獨占，會使用“黑吃黑”、“過河拆橋”等方式阻斷其它挖礦木馬的入侵，查殺30余個同樣是挖礦木馬的進(jìn)程，并在自身入侵成功后，主動將135、137、138、139、445等危險端口關(guān)閉，防止其它挖礦木馬和自己爭搶挖礦資源。

除此以外，NSABuffMiner挖礦木馬新變種配備了功能強(qiáng)大的NSA漏洞攻擊包，方便其在內(nèi)網(wǎng)攻擊傳播。同時，該挖礦木馬還會檢測多個任務(wù)管理器的進(jìn)程，一旦用戶發(fā)現(xiàn)系統(tǒng)異常，啟用任務(wù)管理器查看系統(tǒng)資源占用情況時，木馬會立刻嘗試關(guān)閉任務(wù)管理器，若關(guān)閉失敗，木馬會立刻退出，從而迷惑普通用戶。

(圖：騰訊安全企業(yè)級產(chǎn)品御點)

為避免此類不法黑客攻擊事件再次發(fā)生，騰訊電腦管家安全專家、騰訊安全反病毒實驗室負(fù)責(zé)人馬勁松建議企業(yè)網(wǎng)管：及時給服務(wù)器打好安全補(bǔ)丁，盡量關(guān)閉不必要的文件共享、端口和服務(wù)，采用高強(qiáng)度的唯一服務(wù)器帳號和密碼并保持定期更換;同時建議安裝御點終端安全管理系統(tǒng)等安全軟件，通過終端殺毒和修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。