近日,騰訊安全御見威脅情報中心監測發現,「永恆之藍下載器」木馬再次更新,新增了BlueKeep漏洞CVE-2019-0708檢測利用功能,影響Windows 7、XP、Server 2003、2008等多個系統版本。鑑於該漏洞危害影響極大,可形成類似WannaCry蠕蟲式漏洞傳播,騰訊安全建議企業用戶及時安裝相關補丁,並啟用安全軟體防禦攻擊,避免進一步造成重大安全事故。
據騰訊安全技術專家介紹,更新後的永恆之藍下載器木馬保留了MS17-010永恆之藍漏洞攻擊、SMB爆破攻擊、sql爆破攻擊等功能,並在攻擊成功的目標機器上植入舊的攻擊模塊ipc.jsp,同時安裝計劃任務執行多個Powershell後門,下載執行新的攻擊模塊if.bin,為後續隨時發動攻擊做足準備。
(圖:永恆之藍下載器木馬變種攻擊流程圖)
值得一提的是,CVE-2019-0708為RDP遠程代碼執行漏洞,該漏洞無需身份認證和用戶交互,檢測利用功能目前僅是上報漏洞信息並不會採取進一步攻擊措施。截止目前,永恆之藍相關漏洞未修復的比例接近30%,而BlueKeep漏洞未修復的比例接近20%,驚人的數據背後給用戶網絡安全帶來巨大安全隱患。
自誕生以來,頻繁更新的永恆之藍下載器木馬令廣大用戶提心弔膽。在去年2018年底,永恆之藍下載器木馬首次通過「驅動人生」系列軟體升級通道突然爆發傳播,利用「永恆之藍」高危漏洞在企業內網呈蠕蟲式傳播,並通過雲控下發惡意代碼,僅2個小時受攻擊用戶便高達10萬。所幸該攻擊剛開始便被騰訊安全御見威脅情報中心率先攔截查殺,影響並未進一步擴大。此後不到一年的時間內,永恆之藍下載器木馬先後更新Powershell後門安裝、SMB爆破攻擊、MsSQL爆破攻擊,同時使用黑客工具mimiktaz、psexec進行輔助攻擊等20多個版本。不同以往,此次永恆之藍下載器木馬新增了BlueKeep漏洞檢測代碼,不排除攻擊者隨時啟動BlueKeep漏洞進行攻擊的可能。
(圖:永恆之藍下載器木馬歷史變種版本回顧)
針對該木馬病毒對企業網絡安全帶來的潛在威脅,騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業用戶,建議參考微軟官方公告完成補丁安裝,可暫時關閉135、139、445等不必要的伺服器埠;使用騰訊御點終端安全管理系統的漏洞修復功能,及時修復系統高危漏洞;伺服器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解;推薦部署騰訊御界高級威脅檢測系統檢測可能的黑客攻擊。該系統可高效檢測未知威脅,並通過對企業內外網邊界處網絡流量的分析,感知漏洞的利用和攻擊。
(圖:騰訊御界高級威脅檢測系統)