admin管理员组

文章数量:1530842

2024年7月17日发(作者:)

龙源期刊网

“永恒之蓝”漏洞引发僵尸网络“挖矿”

作者:赵明

来源:《中国计算机报》2017年第21期

WannaCry和UIWIX勒索软件在全世界掀起了轩然大波,但是利用“永恒之蓝”漏洞进行攻

击的却不止这两个恶意软件。近日,亚信安全中国病毒响应中心发现了利用“永恒之蓝”漏洞传

播的新型木马文件“TROJ_”。该木马程序可以控制被感染的终端,形成僵尸

网络,并利用受感染的电脑来“挖掘”虚拟货币。亚信安全建议,用户使用亚信安全MS17-010

漏洞扫描工具来快速发现此漏洞。此外,亚信安全最新病毒码已经可检测该木马,亚信安全客

户可升级病毒码版本来对木马进行封堵。

当用户的PC被感染后,犯罪分子会控制被感染的终端形成僵尸网络,并将感染终端作为

计算节点来挖掘虚拟货币“门罗币”,这很可能导致被感染终端的硬件负载居高不下,造成应用

卡顿。

僵尸网络在犯罪分子的远程控制下可以发起大规模网络攻击,如发送大量垃圾邮件、向网

站实施分布式拒绝服务攻击(DDoS)和传播恶意代码。犯罪分子可随意窃取受感染计算机的

信息、用户的隐私信息等。

而“挖矿”是什么呢?通俗讲,“挖矿”就是挖“门罗币”。“门罗币”是依赖P2P网络存在的,

和“比特币”一样都是网络虚拟货币。“门罗币”只能从特定算法中产生。如果你想要获得“门罗

币”,除了通过交易外,还能够通过计算凭空变出“门罗币”——这个计算过程被称之为“挖

矿”。“挖矿”需要对节点进行大量哈希计算,这需要大量的计算机设备,并消耗大量电力,而

“挖币”的利益所得会被黑客窃取。因此有黑客就利用僵尸网络来控制受感染的主机(也称“肉

鸡”)来实现“挖掘”虚拟货币。

亚信安全中国病毒响应中心发现:该木马程序会利用微软“永恒之蓝”漏洞来感染目标主

机,感染后会生成“%Windows%\Fonts\”“%Temp%\s1jc._Miner_.log”,查找并

结束安全软件相关进程,添加防火墙规则,以逃避查杀。之后,该病毒会链接外部C&C 服务

器发送和接收信息,并配置用于挖矿的Lua脚本机用来挖矿。由于该C&C 服务器与UIWIX病

毒中的C&C服务器是同一个地址,据此推测可能是同一个组织所为。

亚信安全通用安全产品总经理童宁表示:“‘永恒之蓝’是一个较为严重的漏洞,在漏洞细节

披露之后被大量网络犯罪分子用来发动攻击。由于很多用户仍然没有及时修补这一漏洞,我们

可以预见在未来的一段时间内,由该漏洞引起的网络攻击事件将会更频繁地出现。”

亚信安全建议用户通过以下方式来防范“TROJ_”木马。

龙源期刊网

第一,使用亚信安全MS17-010漏洞扫描工具扫描局域网,发现哪些机器没有打MS17-

010漏洞对应的补丁程序,便于管理员有针对性地处理没有打补丁的机器。

第二,使用亚信安全端口扫描工具,扫描局域网中哪些机器开放了445端口,便于管理员

有针对性地处理打开445端口的机器。

第三,使用WannaCry/Wcry勒索病毒免疫工具,该工具可以关闭SMB服务和445端口,

还可以下载MS17-010对应的补丁程序。

第四,使用“TROJ_”木马专杀工具对病毒进行查杀。

亚信安全产品的客户则可以通过以下措施来进行防护。

第一,亚信安全最新病毒码版13.416.60已经包含此病毒检测,用户及时升级病毒码版本

即可。

第二,亚信安全服务器深度安全防护系统Deep Security和亚信安全深度威胁发现设备

TDA已经于5月2号发布补丁,能够抵御针对“永恒之蓝”漏洞的攻击。

第三,亚信安全深度威胁安全网关Deep Edge在4月26日已发布了针对微软远程代码执

行漏洞 CVE-2017-0144的4条IPS规则。

本文标签: 网络感染漏洞工具大量

版权声明:本文标题:“永恒之蓝”漏洞引发僵尸网络“挖矿” 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1721149455a862792.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。