一个 5 年前未修补的高危漏洞,让超 2 万台电脑中招

“永恒之蓝”的余波未平…

据腾讯安全御见威胁情报中心披露: 有团伙利用 Lcy2Miner 挖矿木马感染超过 2 万台电脑,北京、广东受害最严重,影响众多行业,其中,互联网服务、批发零售业、科技服务业位居前三。

目前,该团伙通过挖矿获得 门罗币 147 个,市值约 6.5 万元人民币。

整个攻击过程如下:

首先,攻击者会搭建多个 HFS 服务器 提供木马下载,并在其服务器 web 页面构造 IE 漏洞攻击代码。当存在漏洞的电脑被诱骗访问攻击网站时,即触发漏洞下载大灰狼远程控制木马。

然后, 由远控木马下载门罗币挖矿木马和“ 永恒之蓝 ”漏洞攻击模块,并利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播。

企业网络中一台终端中招,就会导致攻击者利用永恒之蓝漏洞在内网继续攻击传播,让更多终端电脑被安装挖矿木马。不幸的是,永恒之蓝系列攻击工具是在 2 年半之前公开并发布漏洞补丁。

最终,攻击者通过组建僵尸网络挖矿牟利。

腾讯安全称,“中毒电脑被安装大灰狼远控木马,可以执行搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能, 对企业信息安全构成严重威胁。”

根据分析,被利用的漏洞是 CVE-2014-6332,这是微软 2014 年 11 月 11 日发布的一个 IE 浏览器漏洞,官方定义为远程代码执行漏洞,影响 IE 版本 IE3-IE11。

可惜的是,这个五年前就发布的高危漏洞,仍然有用户没有进行修补,结果造成数万台电脑中招。

腾讯安全建议用户修复该团伙利用的已知漏洞,包括 IE 漏洞和永恒之蓝系列漏洞。

1. 针对 MS010-17 “永恒之蓝”漏洞的防御:

服务器暂时关闭不必要的端口(如 135、139、445) ,方法参考 该文章

2. 下载并更新 Windows 系统补丁,及时修复永恒之蓝系列漏洞:

XP、Windows Server 2003、Win8 等系统访问 此文

Win7、Win8.1、Windows Server 2008、Windows 10、Windows Server 2016 等系统访问 此文

3. 修复漏洞 CVE-2014-6332,参考微软官方公告安装 补丁

关于攻击详细分析,可查看 文章