中文版 Global
首页 > 安全资讯 > 正文

永恒之蓝漏洞附身“驱动人生”桌面日历,再掀风浪!

  • 2018-12-15 16:38:38

  12月14日下午,360安全大脑监控到一批携带永恒之蓝漏洞攻击组件的下载器木马,该类木马主要通过“人生日历”等驱动人生系列产品升级组件下发。14日晚间,我司向厂商通报了相关情况,该下发活动已停止。截止目前,该木马累计攻击计算机超过6万台计算机(仅包括通过升级组件受到攻击的情况,不含利用漏洞的二次攻击情况,360安全卫士带有永恒之蓝漏洞免疫功能)。

这类木马具有自升级、远程下载文件执行、远程创建服务等功能,成功入驻宿主机器启动执行后,会首先将计算机名称、操作系统版本、软硬件信息等发往木马服务器,并接收远程指令执行下一步操作—1. 开启门罗币挖矿服务;2.利用永恒之蓝漏洞利用工具包传播。

若其收到的指令为挖矿,该木马会将解压出的代码映射到共享内存中,作为shellcode在内存中执行,这个所谓的shellcode其实就是一个门罗币挖矿模块。有趣的是,在执行挖矿时,木马母体程序还会检查当前机器的运行状况,如果发现启动游戏或者任务管理器,就会立即结束掉挖矿进程。



    若指令为开启永恒之蓝漏洞攻击,在获取到文件后,它会将其解压为使用Python代码编译成的exe程序,其功能是使用已公开的永恒之蓝漏洞,通过自行构造的SMB数据向局域网内和互联网其他机器发起攻击,并执行下载安装木马的指令以传播自身。

  除木马本身功能外,我们还发现该木马的代码中含有大量debug信息输出,因此该木马很可能尚处于测试阶段,并未最终完成,同时当前木马的C&C依然处于活跃状态,所以木马可能会因为服务器指令的变化而出现其他功能上的更新。

  针对该木马的攻击态势,360安全专家向广大用户提出建议:

          1.  做好相关重要数据备份工作。

          2.  加强系统安全工作,及时升级软件与安装操作系统补丁。

          3.  服务器暂时关闭不必要的端口(如135、139、445)

          4.  服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解

          5.  360安全卫士已在第一时间对该木马进行了拦截查杀,此外360安全卫士具备的永恒之蓝漏洞免疫功能,可保护用户免遭该木马攻击,建议大家及时安装!


360安全卫士

热点排行

用户
反馈 返回
顶部