站長資訊網(wǎng)2017年,借助“永恒之藍(lán)”的WannaCry勒索病毒暴擊全球;而近一年時(shí)間里,同樣搭載“永恒之藍(lán)”的下載器木馬歷經(jīng)數(shù)十次更新,多次瀕臨爆發(fā)邊緣。
最近,360安全大腦就再度監(jiān)測到此木馬出現(xiàn)大規(guī)模更新,并且攻擊趨勢顯著增長。不過,廣大用戶不必?fù)?dān)心,360安全大腦已國內(nèi)首家支持此木馬最新版本的攔截查殺,第一時(shí)間守護(hù)用戶網(wǎng)絡(luò)安全。
下載器木馬突增RDP爆破攻擊,集結(jié)四大攻擊模式
從360安全大腦溯源分析來看,此輪呈現(xiàn)上漲趨勢的“永恒之藍(lán)”下載器木馬攻擊,始于8月15日前后的一次大規(guī)模更新,該木馬在原有基礎(chǔ)上增加了RDP爆破模塊。360安全專家分析指出,增加RDP爆破模塊后,意味著下載器木馬可接收控制模塊提供的弱口令以及目標(biāo)機(jī)器ip地址,對(duì)目標(biāo)機(jī)器發(fā)起爆破攻擊。爆破成功后會(huì)在目標(biāo)機(jī)器上執(zhí)行惡意Powershell代碼,完全控制目標(biāo)機(jī)器并利用目標(biāo)機(jī)器資源進(jìn)行門羅幣挖礦。至此,該木馬的傳播模塊已經(jīng)集成了“永恒之藍(lán)”漏洞攻擊、SMB爆破攻擊、MsSQL爆破攻擊、RDP爆破攻擊四種攻擊模式。
圖1 “永恒之藍(lán)”下載器木馬近一個(gè)月攻擊趨勢
從病毒拆解情況來看,新增RDP爆破模塊是復(fù)用了FreeRDP代碼才得以實(shí)現(xiàn)。而在病毒運(yùn)行原理上,木馬會(huì)通過控制服務(wù)器下載RDP爆破程序并保存在臨時(shí)文件夾下,文件名一般為wfreerdp.exe。wfreerdp.exe文件作為RDP爆破模塊,將與原有的“永恒之藍(lán)”模塊、ipc爆破模塊和MsSQL爆破模塊共存,以此對(duì)網(wǎng)絡(luò)中存在漏洞或者弱口令設(shè)備發(fā)起攻擊。從360安全大腦給出的弱口令字典來看,包括saadmin、123.com、Huawei@123、1qaz@WSX等在內(nèi)的百余個(gè)弱口令都在攻擊范圍之內(nèi),威脅十分嚴(yán)峻。
圖2 RDP爆破模塊部分代碼示意圖
RDP模塊復(fù)用了其他模塊使用的弱口令字典 ,字典中包含的弱口令如下表所示:
數(shù)十次更新后威脅堪比“定時(shí)炸彈”,360國內(nèi)首家支持查殺!
2018年底至今,在360安全大腦持續(xù)追蹤的大半年里,下載器木馬憑借“可隨時(shí)更新木馬組件”的靈活性,歷經(jīng)數(shù)十次更新迭代,已從早期的初級(jí)版本變身為現(xiàn)今兼具RDP爆破模塊與“永恒之藍(lán)”漏洞雙重威力的難纏木馬。
病毒發(fā)布與重大更新的時(shí)間點(diǎn):
下載器木馬頻繁升級(jí),攻擊力“扶搖直上”,廣大用戶該如何抵擋木馬的“奇襲”?在360安全大腦的賦能下,360安全衛(wèi)士不僅首家監(jiān)測到此木馬新一輪的更新,并且無需升級(jí)即可攔截查殺;除此以外,360安全衛(wèi)士還帶有“永恒之藍(lán)”漏洞免疫功能,可進(jìn)一步保護(hù)用戶免遭木馬與“永恒之藍(lán)”漏洞的雙重威脅。
此外,360安全專家針對(duì)此次病毒的攻擊模式,也給出了權(quán)威的網(wǎng)絡(luò)安全防護(hù)建議:
1、360安全衛(wèi)士能夠第一時(shí)間攔截“永恒之藍(lán)”下載器木馬的RDP爆破模塊,建議廣大用戶及時(shí)前往www.weishi .360.cn下載安裝360安全衛(wèi)士保護(hù)計(jì)算機(jī)安全;
2. 盡量使用包含數(shù)字、大小寫字母、特殊字符等多個(gè)字符組成的較高強(qiáng)度的系統(tǒng)登錄密碼與數(shù)據(jù)庫登錄密碼,不要使用弱口令; 請(qǐng)廣大的管理員通過弱口令列表進(jìn)行自檢,防御“永恒之藍(lán)”下載器木馬的爆破攻擊;
3. 及時(shí)安裝系統(tǒng)和重要軟件的安全補(bǔ)丁,修補(bǔ)系統(tǒng)漏洞。
特別提醒:本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體,目的在于傳遞更多信息,并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系我們,本站將會(huì)在24小時(shí)內(nèi)處理完畢。
