留神网络“疫”情!BlueKeep漏洞再掀风浪!
- 2020-02-18 09:53:41
新冠疫情拉开了数字化时代远程办公的大幕,在当下全民抗疫的关键时刻,互联网信息系统在疫情防控医疗指挥及维系社会正常运转中,发挥着至关重要的作用。
事件爆发后,2019年5月22日360安全大脑便全球独家推出RDP远程漏洞热补丁工具down.360safe.com/HotFix_CVE-2019-0708.exe无需重启服务器,即可自动免疫此高危漏洞攻击,保护服务器数据及个人用户信息安全。
如今时隔数月,借助该漏洞发起的挖矿攻击却再次来犯,威胁可谓有增无减。要知道,当下抗击新型冠状病毒工作已进入战斗关键时期,各大医疗系统及复工在即的企业办公系统一旦遭遇该木马攻击,必将带来无法估量的损失,这对疫情防控来说无疑是雪上加霜。
对此,360安全大脑再度秒级响应全面拦截该木马攻击,并进一步深度追踪溯源,剖析还原了该木马的攻击路径。如图所示,该木马通过BlueKeep漏洞入驻用户电脑后,会首先向用户电脑中下发两个木马模块-preft.bat和postre.bat。
其中preft.bat会在受感染的机器上增加SysUpdate后门,以供黑客进一步控制该机器。
而另一病毒模块postre.bat则负责将系统根目录添加到杀毒软件的排除项中,并将后续rtlrev.vbs等恶意脚本拷贝到系统根目录下执行:
恶意脚本rtlrev.vbs下载并执行dr.vbs。值得一提的是,通过该恶意脚本下载的压缩包经过了两层压缩,可以起到简单的免杀作用。
而进一步通过dr.vbs下载执行的病毒模块dmar.vbs,则会通过判断当前操作系统位数是否为64位来确认运行。
随后下载挖矿程序与配置,创建挖矿的计划任务,调起矿机开始挖矿。
因此,为避免这类攻击态势再度蔓延,360安全大脑建议广大用户做好以下防护措施,保护抗疫期间的电脑及财产安全:
4、360安全卫士支持拦截与查杀此类木马病毒,建议广大用户安装查杀。