WF曲速區(qū)告誡:警惕漏洞蠕蟲式攻擊的傳播區(qū)塊鏈
WF曲速未來表示8月9日消息稱,近日感知多起服務器被入侵挖礦事件,分析發(fā)現(xiàn)bulehero挖礦木馬不光使用弱口令爆破并且利用多個服務器組件漏洞進行攻擊,利用多個漏洞在局域網(wǎng)內(nèi)進行蠕蟲式的攻擊傳播,會影響網(wǎng)絡性能,而病毒的挖礦行為更會浪費計算機資源,對企業(yè)的生產(chǎn)系統(tǒng)產(chǎn)生嚴重影響。
近日感知多起服務器被入侵挖礦事件,分析發(fā)現(xiàn)bulehero挖礦木馬不光使用弱口令爆破并且利用多個服務器組件漏洞進行攻擊,利用多個漏洞在局域網(wǎng)內(nèi)進行蠕蟲式的攻擊傳播,會影響網(wǎng)絡性能,而病毒的挖礦行為更會浪費計算機資源,對企業(yè)的生產(chǎn)系統(tǒng)產(chǎn)生嚴重影響。截止目前,從該病毒使用的其中一個錢包地址看,已挖到門羅幣42個(折合人民幣2.1萬元)。
看到這個,突然想起WannaCry勒索病毒。該病毒也是蠕蟲傳播的。2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計算機,該蠕蟲感染計算機后會向計算機中植入敲詐者病毒,導致電腦大量文件被加密。
1.病毒概況
二、病毒詳細分析
1、mssecsvc.exe行為
1)開關
病毒在網(wǎng)絡上設置了一個開關,當本地計算機能夠成功訪問了之后退出進程,就不再進行傳播感染了。
2)蠕蟲行為
通過創(chuàng)建服務啟動,使用cmd命令啟動自身,防止被結束進程:
各參數(shù)服務信息
從病毒自身讀取MS17_010漏洞利用代碼,playload分為x86和x64兩個版本。
創(chuàng)建兩個線程,分別掃描內(nèi)網(wǎng)和外網(wǎng)的IP,開始進程蠕蟲傳播感染。
對公網(wǎng)隨機ip地址445端口進行掃描感染。
對于局域網(wǎng),則直接掃描當前計算機所在的網(wǎng)段進行感染。
感染過程,嘗試連接445端口。
如果連接成功,則對該地址嘗試進行漏洞攻擊感染。
3)釋放敲詐者
解密器運行之后會刪除windows自動備份 無法還原被加密的文件
修改桌面背景 顯示勒索信息
彈出勒索窗口,顯示比特幣錢包地址和付款金額
然后一個讓人心驚膽跳的漏洞病毒就這樣出現(xiàn)了。
WF曲速區(qū)提醒:bulehero挖礦木馬利用漏洞蠕蟲式攻擊這個事件再次提醒了我們安全是沒有絕對的對于漏洞安全問題需要時刻警惕。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會明確標注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請轉(zhuǎn)載時務必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控熑危?br>
3.作者投稿可能會經(jīng)TMT觀察網(wǎng)編輯修改或補充。
