利用“永恒之蓝”漏洞挖矿 木马“微笑”赚百万年薪
2017年5月,利用“永恒之蓝”漏洞的“WannaCry”开始传播,时隔一年仍有部分企事业单位未安装补丁或部署防护类措施,近日,腾讯御见威胁情报中心感知截获一款门罗币挖矿木马,该木马同样使用“永恒之蓝”漏洞传播,部分模块使用易语言编写。
该木马启动扫描器对网络端口进行扫描,并启动“永恒之蓝”攻击模块尝试攻击已开放445端口的主机。一旦目标服务器被成功攻陷,其会直接访问指定C2地址,下载文件名为weilai.exe或weixiao.exe 的木马包,腾讯御见威胁情报中心将此木马命名为“微笑”。
(木马攻击流程图)
“微笑”木马挖取到价值120万的门罗币
根据木马C2地址wxxxxxx.top,可以查到该域名相关注册信息
目前该域名托管在国内知名云服务器上,域名信息可得到其邮箱及电话号码。
域名注册信息为赵*。目前该木马使用的钱包已经累计挖取846枚门罗币,折合人民币120万元。
从其挖矿记录看,其门罗币钱包早在去年3月份就已经启用,而从今年3月份开始利用“永恒之蓝”漏洞进行传播。
(“微笑”挖矿木马传播趋势)
除挖矿外,该木马的键盘记录模块会窃取用户隐私,在后台静默上传用户的软件安装列表,宽带用户名密码及一些硬件信息,并且会获取用户IP对应的公司或精确位置。
腾讯御见威胁情报中心建议企业用户:
1. 定位和隔离已中毒机器,可以通过文件路径判断,该挖矿木马使用路径
c:\windows\dll\目录
c:\windows\Fonts\Hs.exe
c:\windows\Fonts\crss.exe
c:\windows\Fonts\aaaserver.reg
c:\windows\Fonts\iexplorer.exe
c:\windows\Fonts\wx.bat
2. 手动安装“永恒之蓝”漏洞补丁,补丁下载链接
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
其中WinXP,Windows
Server 2003用户请访问
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
3. 建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html),由管理员批量杀毒和安装补丁,后续也可以及时更新各类系统高危补丁。