金秋九月,又是一年开学季,全国各地大中小学密集迎来“开学潮”,同学们陆续重返校园,而不法分子也开始蠢蠢欲动,盯上了“开学经济”,试图利用非法手段来获取巨额收益。近日,腾讯智慧安全御见威胁情报中心接到用户反馈,称学校内网水卡管理服务器频繁出现崩溃情况,经学校网络管理人员系统排查,并未发现有异常问题,初步怀疑内网遭到不法黑客攻击,因此向腾讯智慧安全御见威胁情报中心求助。
经腾讯安全技术专家检测发现,该学校内网水卡管理服务器遭rundllhost.exe挖矿木马入侵,属于NSASrvanyMiner挖矿木马的变种,利用NSA武器工具在内网攻击传播。由于该服务器存在未修复的ms17-010漏洞,因此受到攻击被利用挖矿。经查询钱包信息发现,截至目前,NSABuffMiner挖矿木马已挖矿获得门罗币1217个,非法获利高达115万元人民币。
目前,腾讯智慧安全御见威胁情报中心已对该挖矿木马进行全面拦截并查杀,并提醒广大企业用户及时修复高危漏洞。不法黑客一旦利用这些系统漏洞,除了会植入挖矿木马外,用户电脑还可能被植入勒索病毒、成为窃取资料的工具,造成更加严重的后果。
据腾讯安全技术专家介绍,NSASrvanyMiner挖矿木马新变种发动攻击时会先关闭防火墙,启动CPUInfo.exe扫描内网机器的445端口,如果端口处于打开状态则利用多个NSA武器工具对用户电脑进行攻击。同时该挖矿木马启动矿机时使用NSSM服务管理工具,将矿机***为系统服务,此工具具有自动守护目标服务进程功能,能维持挖矿进程运行,可躲避部分杀软检测。
值得一提的是,该挖矿木马为了保证对挖矿资源的独占,会使用“黑吃黑”、“过河拆桥”等方式阻断其它挖矿木马的入侵,查杀30余个同样是挖矿木马的进程,并在自身入侵成功后,主动将135、137、138、139、445等危险端口关闭,防止其它挖矿木马和自己争抢挖矿资源。
除此以外,NSABuffMiner挖矿木马新变种配备了功能强大的NSA漏洞攻击包,方便其在内网攻击传播。同时,该挖矿木马还会检测多个任务管理器的进程,一旦用户发现系统异常,启用任务管理器查看系统资源占用情况时,木马会立刻尝试关闭任务管理器,若关闭失败,木马会立刻退出,从而迷惑普通用户。
(图:腾讯安全企业级产品御点)
为避免此类不法黑客攻击事件再次发生,腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松建议企业网管:及时给服务器打好安全补丁,尽量关闭不必要的文件共享、端口和服务,采用高强度的唯一服务器帐号和密码并保持定期更换;同时建议***御点终端安全管理系统等安全软件,通过终端杀毒和修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。
本文由百家号作者上传并发布,百家号仅提供信息发布平台。文章仅代表作者个人观点,不代表百度立场。未经作者许可,不得转载。
近日,360安全中心监测到了一类挖矿木马在国内异常活跃,此类木马不光利用了微软白文件srvany.exe逃避杀毒软件的扫描,而且还利用了美国NSA武器库中的好几个漏洞利用工具把自己全副武装,使用户电脑极易受到此类病毒的攻击。因此,360安全中心研究员将此类挖矿木马命名为NSASrvanyMinner。
360的安全专家在监测到此挖矿木马的活动后对病毒样本进行了分析。分析发现,此类木马为易语言所编写,该病毒程序在受害者电脑上运行后会释放两个木马文件,第一个文件muma.exe可被攻击者用来远程控制用户电脑,第二个文件rasm.exe则被用来在受害者电脑上实施挖矿。
文件muma.exe在受害者电脑上运行后会从云端下载木马核心加密的DLL程序,此程序解密后会进行内存加载运行。专家经解密分析后发现该程序为大灰狼远程控制的变种。该木马程序不仅支持攻击者远程控制用户电脑,还能支持检测杀毒软件。
图1:远程控制木马下载核心加密DLL地址
图2:调用木马导出函数传入上线反弹地址
图3:木马支持远程控制计算机功能,还支持检测杀毒软件
第二个木马文件rasm.exe在用户电脑上运行后,会通过利用微软白利用srvany.exe文件做启动项,从而自动启动挖矿程序CPUInfo.exe,并且释放扫描器和各种漏洞利用工具来实现自动传播。
图5:木马自带包含“永恒之蓝”在内的5款漏洞利用工具
挖矿程序CPUInfo.exe会释放并调用csrs.exe(实际就是xmrig.exe)挖矿工具进行挖矿,启动参数如下所示(包含链接矿池及钱包地址):
近期,国内挖矿木马非常活跃,让人防不胜防。360安全卫士建议用户及时打上系统补丁,发现电脑卡慢等异常情况时使用安全软件扫描,同时注意保证安全软件的常开以进行防御,一旦受攻击者诱导而不慎中招,请尽快使用360安全卫士查杀清除木马。
此外,360安全卫士已经推出了挖矿木马防护功能,此功能可全面防御从各种渠道入侵的挖矿木马。用户开启该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。