自今年5月“WannaCry”勒索病毒在全球蔓延以来,“永恒之蓝”漏洞攻击事件层出不穷。
近日,腾讯智能安全御剑威胁情报中心感知多起服务器入侵挖矿事件,发现蠕虫bulehero不仅利用弱口令爆破进行挖矿,还利用“永恒之蓝”等多个服务器组件漏洞发起攻击。
内网可以在短时间内完成横向扩展,对网络安全造成很大威胁。
安全技术专家分析发现,该木马病毒采用了与近期流行的“WannaCry”勒索病毒类似的传播方式。
它使用scvsots.exe的下载器,它类似于系统的正常进程名称Svchost.exe可执行文件。
通过发布网络扫描工具,检测局域网中可能受到攻击和传播的IP地址段。
在关闭Windows防火墙的同时,利用“永恒之蓝”漏洞攻击包和多个服务器组件相关漏洞进行攻击,并在局域网内传播。
最后创建一个启动项,开机后自行运行,实现了目的是横向攻击局域网中的所有计算机(图:蠕虫病毒bulehero攻击流程图)一旦入侵成功,蠕虫病毒就会从远程服务器下载病毒代码,然后横向传播到局域网中的其他计算机。
同时,该病毒还会在被感染的计算机中留下后门病毒,为后续的恶意攻击做准备,给用户带来极大的安全风险。
重庆、广西、江苏等地已成为该病毒的集中感染中心,与以往的木马病毒相比,此次bulehero蠕虫在传播方式上花了不少心思,采用多种攻击手段,形成了一张“大网”。
攻击策略。
无良黑客通过修改NSA黑客武器库中此前泄露的“永恒之蓝”攻击程序,发起网络攻击。
他们使用攻击工具WinStr来检测网络上的Struts 2漏洞并执行各种指令。
他们还利用Weblogic反序列化漏洞攻击企业服务器。
,并利用密码字典猜测、爆破弱密码登录Mssql端口进行溢出攻击,最终实现本地提权、账户创建、系统信息收集。
可见,木马病毒的作案手法不断变化,使得用户检测的难度越来越大。
同时,结合近期频发的网络安全事件,不法黑客正在寻找更为隐蔽、高效的通信方式来实现其非法获利的企图。
(图:企业级安全防护产品腾讯雨点)因此,加强互联网安全意识尤为重要。
一方面,个人用户要提高网络安全意识,养成良好的上网习惯,安装并保持腾讯电脑管家等安全软件实时开启;另一方面,企业应设立相关安全监管部门并制定相关对策。
同时,优先使用终端防病毒软件,增强防御方案的完整性和立体性,以便在受到攻击时,能够更高效地解决问题,将企业的损失降到最低。