近期,腾讯安全御见要挟情报中心检测到WannaMine挖矿宗族再度活泼,病毒作者增加Linux服务器为新的进犯方针,并为开释的DDoS木马起了一个颇有恶作剧颜色的姓名“比尔盖茨”(BillGates)。经剖析,该病毒伪装成Linux体系东西逃避杀毒软件查杀,横向传达局域网内其他电脑,并在内核中生成进犯数据包,防止被嗅探东西捕获。现在,腾讯电脑管家及腾讯御点终端安全办理体系已全面阻拦并查杀该病毒。
此前,腾讯安全御见要挟情报中心曾接到客户求助,称布置的腾讯御界高档要挟检测体系提示,其公司网络正在遭受SSH服务器弱口令爆炸进犯,危殆之下,该公司安全人员第一时间联络腾讯安全技能专家恳求帮忙剖析要挟事情。
腾讯御界高档要挟检测体系提示
腾讯安全技能专家在征得客户赞同后,提取御界的相关日志,对其进行剖析从中提取出要害IOC信息,发现该公司遭受的CVE-2016-5195内核提权缝隙是因为感染WannaMine挖矿木马导致。因为发现及时,腾讯安全技能专家帮忙客户进行阻隔、杀毒、修正安全缝隙,现在该公司并未遭受丢失,一起网络侵略危险也随即免除。
事实上,早在2017年9月,腾讯安全御见要挟情报中心就已监测发现WannaMine挖矿宗族活泼反常,其不只运用弱口令爆炸进行挖矿,并且还运用“永久之蓝”等多个服务器组件缝隙主张进犯,给网络安全造成了极大的要挟。自本年6月开端,WannaMine在国内出现新的快速增长趋势,数据显现,病毒感染率最高的城市为广东省,约有20.3%的受害者,现在已影响近14万台设备的安全。
进犯者遍及运用服务器存在的SSH、TELNET、MySQL等遗漏,运用东西批量扫描并植入Shell脚本,从而针对特定方针发起DDoS进犯。一起,木马还会在被感染电脑中留下后门,为后续的歹意进犯做足预备。
WannaMine挖矿木马进犯Linux体系流程
特别需求留意的是,WannaMine挖矿木马兼具对立杀软、铲除挖矿竞品、耐久化进犯等特色。首要经过SSH弱口令爆炸成功后开释出DDoS木马,不断在内网分散传达,进犯受害机器登录过的一切长途服务器;然后主动封闭、删去中招机器上装置的安全防护软件,将病毒看护脚本代码增加至Linux启动项、守时使命,以到达耐久化;最终铲除挖矿竞争对手,敞开挖矿,并测验运用Linux内核提权缝隙获取体系Root权限。
WannaMine载荷保管IP地址
从上图中不难看出,前期WannaMine所运用的载荷保管IP地址常常改动,标明病毒或许运用某一台僵尸机用于保管载荷,每次进行更新后就替换一台。但在本年6月病毒更新迭代后,运用的载荷保管地址和载荷文件都与另一个黑客安排密切相关,且参加的代码方位、代码内容与之前的风格不符,出现体系化、定制化特色。经过这两个重要特征,腾讯安全技能专家揣度,WannaMine现已沦为“军火库”,开端为其他黑客安排供给定制化兵器。
为进一步免受WannaMine挖矿木马的损害,腾讯安全反病毒实验室担任人马劲松提示广阔企业网络办理员,主张服务器封闭不必要的端口和同享文件,运用高强度暗码,以防不法黑客破解;下载并更新Windows体系补丁,及时修正永久之蓝系列缝隙;定时对服务器进行加固,及时修正服务器相关组件的安全缝隙;一起还主张企业用户挑选运用腾讯御界高档要挟检测体系,及时发现黑客侵略浸透痕迹,实在保护好企业本身的网络安全。