6月30日,安全人员发布了Windows打印机远程代码执行漏洞的概念验证,并将该漏洞命名为“打印Nightmare”。
据悉,该漏洞允许低权限用户对本地网络中的计算机发起攻击,从而控制易受攻击的计算机。
域环境中的普通用户可以利用该漏洞对域控制服务器发起攻击,从而控制整个域。
7月3日,微软宣布“Print Nightmare”漏洞可影响几乎所有主流Windows版本,具体漏洞编号为CVE-7。
公告发布仅一天后,安全大脑就检测到“紫狐”挖矿僵尸网络正在利用“Print Nightmare”漏洞发起攻击。
据悉,“紫狐”僵尸网络是一个大规模的庞大挖矿僵尸网络。
它通常采用网页挂钩、MsSQL数据库弱口令爆破等方法来入侵机器。
入侵成功后,它会尝试在局域网中横向移动,植入机器中。
挖掘木马以获取利润。
高级威胁研究分析中心研究分析发现,“紫狐”僵尸网络利用“Print Nightmare”漏洞入侵域内机器,注入文件名为“AwNKBOdTxFBP.dll”的恶意dll。
dll”进入打印机进程 spoolsv.exe。
恶意dll会恶意注入rundll32.exe启动PowerShell下载并执行僵尸程序。
攻击流程和恶意PowerShell代码如下图所示。
执行的PowerShell代码解码内容如下: 僵尸程序下载并执行后,受害机器将完全成为“紫狐”僵尸网络的一个节点,在挖矿的同时也会对网络中的其他机器发起攻击。
攻击。
该漏洞曝光后不久,安全大脑漏洞防护立即支持该漏洞的攻击拦截,并在安全卫士、Win7护盾等产品中添加了针对该漏洞的微补丁免疫,可以使系统遭受此类攻击即使未安装补丁或无法连接互联网,也能得到有效防御。
就在今天上午,微软紧急推出了“打印Nightmare”的修复补丁,同时也针对已经停止支持的Windows 7系统发布了相应补丁。
可见该漏洞影响之严重。
安全大脑建议用户尽快更新,防范该漏洞的攻击。
如果企业管理员想要检查企业内网是否受到该木马攻击的影响,可以使用IOCS进行检查。
IOCS:45c3f24d74a68bc63cf9d7cc9fbcfc80fe61eachxxp://6kf[.]me/dl.php 除上述建议外,安全大脑团队还为用户安全给出以下安全建议: 1、用户在下载安装软件时,可以优先考虑软件官网、软件管家搜索安装,避免恶意捆绑以及从不正规下载网站下载造成的故障; 2、提高安全意识,不要随意打开陌生人发送的各种文件。
如果需要打开,一定要验证文件后缀是否与文件名匹配; 3、警惕来源不明的电子邮件,不要点击打开其中包含的任何链接或附件; 4. 不要对可疑文档启用宏代码。
如果在打开过程中发现任何警告信息,请及时屏蔽,不要点击。
忽略或允许。
作为已服务13亿用户的国家级PC安全产品,安全卫士自推出十五年来,一直致力于为用户提供全面的安全防护。
目前,安全卫士已形成集木马查杀、漏洞修复、隐私保护、勒索解密等多种功能于一体的安全解决方案。
未来,安全卫士将继续钻研安全技术,为用户提供更及时、更有针对性的安全防护。