網際網路安全風險來源複雜,攻擊手段多樣,升級變種速度更是令人咋舌。一周前,騰訊智慧安全御見威脅情報中心披露,BlueHero蠕蟲病毒利用永恆之藍漏洞在企業區域網內傳播擴散,並利用中毒電腦組網挖礦,被安全軟體查殺後,該病毒「賊心不死」又啟用了新的攻擊手法,通過LNK漏洞加速擴散,利用企業中毒電腦組網挖取門羅幣,給企業網絡安全構成極大的威脅。
(圖:騰訊電腦管家攔截並查殺該病毒)
安全技術專家分析發現,該木馬病毒母體運行後會釋放LNK漏洞利用模塊。通過在染毒機器各個磁碟根目錄創建惡意LNK文件,利用漏洞加載Payload的方式,實現更加隱蔽的長期反覆啟動感染駐留。
據悉,LNK漏洞(CVE-2017-8464)被稱為震網三代。不法黑客利用震網三代漏洞構造LNK快捷方式文件放到某個文件夾內,一旦用戶打開資源管理器,無須雙擊運行,看一眼文件夾即會中毒。值得注意的是,這種攻擊方式曾被用在Stuxnet軟體中,針對伊朗核設施計算機發起過攻擊,也就是臭名昭著的「震網」病毒元兇。
(圖:BlueHero蠕蟲病毒攻擊原理)
更值得一提的是,該木馬病毒除了利用「永恆之藍」漏洞攻擊包及多個伺服器組件相關漏洞在區域網內攻擊傳播以外,還將LNK漏洞利用也納入了攻擊武器庫,形成震網三代+永恆之藍漏洞多重攻擊組合,使得其傳播威力大增。
由於該蠕蟲主要目標為企業用戶,一旦企業共享目錄被病毒感染,任何訪問該共享目錄的存在漏洞的電腦均會被感染,這大大增強了BlueHero蠕蟲病毒的擴散能力。同時造成企業機器的大面積中毒,最終釋放的挖礦木馬嚴重消耗企業IT資源。
根據騰訊智慧安全御見威脅情報中心數據顯示,該病毒從8月9日至8月20日期間呈現小幅增長趨勢,所使用錢包中的門羅幣個數已由42.446增加到50.965,主要集中在廣西、山東、寧夏等地區。
(圖:騰訊智慧安全御見威脅情報中心數據監測)
整體來看,升級後的BlueHero蠕蟲病毒,無論是病毒感染力還是危害程度都加倍升級。為防止該病毒危害更多用戶,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大用戶,務必養成良好的上網習慣,保持騰訊電腦管家等主流殺毒軟體開啟並運行狀態,及時修復漏洞,並實時攔截該類病毒風險。
(圖:企業級安全防禦產品騰訊御點)
針對企業用戶,馬勁松提醒企業網絡管理員,建議採用高強度的密碼,避免使用弱口令密碼,並定期更換密碼;儘量關閉不必要的埠和不必要的文件共享,減少病毒在區域網內擴散的通道;同時建議全網安裝終端安全管理系統,統一管控終端殺毒和修復漏洞,幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。