新冠疫情拉開了數字化時代遠程辦公的大幕,在當下全民抗疫的關鍵時刻,互聯網信息系統在疫情防控醫療指揮及維繫社會正常運轉中,發揮著至關重要的作用。
然而,非常時期的網絡安全威脅也是如影隨形。近日,360安全大腦監測到一類利用BlueKeep漏洞(CVE-2019-0708)傳播的新型挖礦木馬,該木馬感染用戶機器後,會通過大肆挖取門羅幣獲取利益,並在其中增加後門賬戶以進一步控制中招機器。
2019年5月14日,Windows被曝出堪比“永恆之藍”的遠程高危漏洞Bluekeep(CVE-2019-0708)。自其發佈以來,360安全大腦及微軟便對Bluekeep漏洞保持著長期追蹤與實時監測。
事件爆發後,2019年5月22日360安全大腦便全球獨家推出RDP遠程漏洞熱補丁工具down.360safe.com/HotFix_CVE-2019-0708.exe無需重啟服務器,即可自動免疫此高危漏洞攻擊,保護服務器數據及個人用戶信息安全。
然而,2019年9月7日Bluekeep漏洞EXP代碼的公開又給了黑客可乘之機。同年11月,大規模利用BlueKeep漏洞在目標系統上安裝惡意挖礦程序,致使遭攻擊電腦淪為“礦機”,法國、俄羅斯、西班牙、烏克蘭、德國、英國等多個國家均有襲擊。
如今時隔數月,藉助該漏洞發起的挖礦攻擊卻再次來犯,威脅可謂有增無減。要知道,當下抗擊新型冠狀病毒工作已進入戰鬥關鍵時期,各大醫療系統及復工在即的企業辦公系統一旦遭遇該木馬攻擊,必將帶來無法估量的損失,這對疫情防控來說無疑是雪上加霜。
對此,360安全大腦再度秒級響應全面攔截該木馬攻擊,並進一步深度追蹤溯源,剖析還原了該木馬的攻擊路徑。如圖所示,該木馬通過BlueKeep漏洞入駐用戶電腦後,會首先向用戶電腦中下發兩個木馬模塊-preft.bat和postre.bat。
其中preft.bat會在受感染的機器上增加SysUpdate後門,以供黑客進一步控制該機器。
而另一病毒模塊postre.bat則負責將系統根目錄添加到殺毒軟件的排除項中,並將後續rtlrev.vbs等惡意腳本拷貝到系統根目錄下執行:
惡意腳本rtlrev.vbs下載並執行dr.vbs。值得一提的是,通過該惡意腳本下載的壓縮包經過了兩層壓縮,可以起到簡單的免殺作用。
而進一步通過dr.vbs下載執行的病毒模塊dmar.vbs,則會通過判斷當前操作系統位數是否為64位來確認運行。
隨後下載挖礦程序與配置,創建挖礦的計劃任務,調起礦機開始挖礦。
用戶一旦中招,電腦不僅會出現CPU佔用率飆升、運行緩慢的現象,還面臨著被黑客全面接管控制的風險。痛定思痛,如果說廠商的安全提示及防護措施是預防Bluekeep漏洞攻擊的基本保障和前提,那麼廣大用戶良好的網絡安全意識則是這場攻防戰鬥中最為重要的一環。
因此,為避免這類攻擊態勢再度蔓延,360安全大腦建議廣大用戶做好以下防護措施,保護抗疫期間的電腦及財產安全:
1,與普通的木馬攻擊不同,使用補丁修復漏洞,對漏洞攻擊的防護效果是最好的。強烈建議廣大網絡管理員儘快安裝360安全衛士或360高危漏洞免疫工具360.cn/webzhuanti/mianyigongju.html修復該漏洞;如果企事業單位無法安裝微軟補丁修復,或者服務器無法重啟,請使用360安全衛士熱補丁工具http://down.360safe.com/HotFix_CVE-2019-0708.exe保護數據安全。
2、提高安全意識,不隨意點擊來源不明的郵件、文檔、鏈接等,並及時為操作系統、IE、Flash等常用軟件打好補丁。
3、避免將遠程桌面服務(RDP,默認端口為3389)暴露在公網上(如為了遠程運維方便確有必要開啟,則可通過VPN登錄後才能訪問),並關閉445、139、135等不必要的端口。
4、360安全衛士支持攔截與查殺此類木馬病毒,建議廣大用戶安裝查殺。
閱讀更多 360安全衛士 的文章
