WF曲速區(qū)告誡:警惕漏洞蠕蟲式攻擊的傳播區(qū)塊鏈
WF曲速未來表示8月9日消息稱,近日感知多起服務(wù)器被入侵挖礦事件,分析發(fā)現(xiàn)bulehero挖礦木馬不光使用弱口令爆破并且利用多個(gè)服務(wù)器組件漏洞進(jìn)行攻擊,利用多個(gè)漏洞在局域網(wǎng)內(nèi)進(jìn)行蠕蟲式的攻擊傳播,會(huì)影響網(wǎng)絡(luò)性能,而病毒的挖礦行為更會(huì)浪費(fèi)計(jì)算機(jī)資源,對(duì)企業(yè)的生產(chǎn)系統(tǒng)產(chǎn)生嚴(yán)重影響。
近日感知多起服務(wù)器被入侵挖礦事件,分析發(fā)現(xiàn)bulehero挖礦木馬不光使用弱口令爆破并且利用多個(gè)服務(wù)器組件漏洞進(jìn)行攻擊,利用多個(gè)漏洞在局域網(wǎng)內(nèi)進(jìn)行蠕蟲式的攻擊傳播,會(huì)影響網(wǎng)絡(luò)性能,而病毒的挖礦行為更會(huì)浪費(fèi)計(jì)算機(jī)資源,對(duì)企業(yè)的生產(chǎn)系統(tǒng)產(chǎn)生嚴(yán)重影響。截止目前,從該病毒使用的其中一個(gè)錢包地址看,已挖到門羅幣42個(gè)(折合人民幣2.1萬元)。
看到這個(gè),突然想起WannaCry勒索病毒。該病毒也是蠕蟲傳播的。2017年5月12日,WannaCry蠕蟲通過MS17-010漏洞在全球范圍大爆發(fā),感染了大量的計(jì)算機(jī),該蠕蟲感染計(jì)算機(jī)后會(huì)向計(jì)算機(jī)中植入敲詐者病毒,導(dǎo)致電腦大量文件被加密。
1.病毒概況
二、病毒詳細(xì)分析
1、mssecsvc.exe行為
1)開關(guān)
病毒在網(wǎng)絡(luò)上設(shè)置了一個(gè)開關(guān),當(dāng)本地計(jì)算機(jī)能夠成功訪問了之后退出進(jìn)程,就不再進(jìn)行傳播感染了。
2)蠕蟲行為
通過創(chuàng)建服務(wù)啟動(dòng),使用cmd命令啟動(dòng)自身,防止被結(jié)束進(jìn)程:
各參數(shù)服務(wù)信息
從病毒自身讀取MS17_010漏洞利用代碼,playload分為x86和x64兩個(gè)版本。
創(chuàng)建兩個(gè)線程,分別掃描內(nèi)網(wǎng)和外網(wǎng)的IP,開始進(jìn)程蠕蟲傳播感染。
對(duì)公網(wǎng)隨機(jī)ip地址445端口進(jìn)行掃描感染。
對(duì)于局域網(wǎng),則直接掃描當(dāng)前計(jì)算機(jī)所在的網(wǎng)段進(jìn)行感染。
感染過程,嘗試連接445端口。
如果連接成功,則對(duì)該地址嘗試進(jìn)行漏洞攻擊感染。
3)釋放敲詐者
解密器運(yùn)行之后會(huì)刪除windows自動(dòng)備份 無法還原被加密的文件
修改桌面背景 顯示勒索信息
彈出勒索窗口,顯示比特幣錢包地址和付款金額
然后一個(gè)讓人心驚膽跳的漏洞病毒就這樣出現(xiàn)了。
WF曲速區(qū)提醒:bulehero挖礦木馬利用漏洞蠕蟲式攻擊這個(gè)事件再次提醒了我們安全是沒有絕對(duì)的對(duì)于漏洞安全問題需要時(shí)刻警惕。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。
