2018年12月14日下午,360安全大腦監測到一批攜帶永恆之藍漏洞攻擊組件的下載器木馬,該類木馬主要通過「人生日曆」等驅動人生系列產品升級組件下發。14日晚間,360公司向廠商通報了相關情況,該下發活動已停止。截止目前,該木馬累計攻擊計算機超過6萬臺計算機(僅包括通過升級組件受到攻擊的情況,不含利用漏洞的二次攻擊情況,360安全衛士帶有永恆之藍漏洞免疫功能)。
半個月前,攻擊者通過域名dl.haqo.net 下發木馬;時隔半個月,360安全大腦監測到,攻擊者掌握大量肉雞後,通過新的域名d.haqo.net 再次下發挖礦木馬。而本次挖礦木馬新增下發通道域名d.haqo.net ,啟用解析的時間是2018年12月29日,距離最初爆發時的2018年12月14日已經過去半個月。被安全廠商聯合絞殺的半個月後還啟用新的惡意域名,說明黑客團夥足夠謹慎,也早有預謀。
從黑客伺服器下發的挖礦木馬分析來看,挖礦木馬由開源挖礦程序XMRig 修改編譯而來。挖礦木馬中內置了3 個以前沒被曝光過的礦池域名loop.haqo.net / loop2.haqo.net / loop.abbny.com ,挖礦木馬啟動之後,會與礦池域名的TCP:443 埠通信。目前3 個礦池地址,前兩個已經可以解析,最後一個loop.abbny.com 還沒有配置解析的IP 地址,算是備用域名。這也為未來攻擊行為埋下伏筆:如果前兩個礦池域名都被安全廠商攔截後無法繼續使用了,攻擊者可以啟用這一個礦池域名,使挖礦工作還能繼續進行。所以廣大用戶仍需提高警惕,及時安裝殺軟或升級病毒庫,清理殺毒。由此安全專家可以推測此事件背後惡意團夥的套路:先入侵「驅動人生」的伺服器,通過「驅動人生」的升級通道下發「永恆之藍」攻擊工具來擴散感染。最終,再向已經感染木馬的受害主機下發挖礦木馬來挖礦牟利。
360安全專家提醒:上次6萬臺被「驅動人生」升級感染的機器如果不及時做殺毒清理用戶,這次有可能中招,所以專家建議用戶使用360安全衛士殺毒清理,提高安全係數360安全衛士保持開啟狀態,能及時防範,從而有效控制木馬病毒的大規模爆發。同時針對該木馬的攻擊態勢,360安全專家請廣大用戶不要恐慌:
1. 做好相關重要數據備份工作。
2. 加強系統安全工作,及時升級軟體與安裝作業系統補丁。
3. 伺服器暫時關閉不必要的埠(如135、139、445)
4. 360安全衛士已在第一時間對該木馬進行了攔截查殺,此外360安全衛士具備的永恆之藍漏洞免疫功能,可保護用戶免遭該木馬攻擊,建議大家及時安裝!
免責聲明:以上內容為本網站轉自其它媒體或企業宣傳文章,相關信息僅為傳遞更多信息之目的,不代表本網觀點,亦不代表本網站贊同其觀點或證實其內容的真實性。