蠕蟲病毒bulehero再次利用“永恒之藍”在企業(yè)內網(wǎng)攻擊傳播

自2017年5月“WannaCry”勒索病毒在全球肆虐以來，“永恒之藍”漏洞攻擊事件層出不窮。近日，騰訊智慧安全御見威脅情報中心感知多起服務器被入侵挖礦事件，發(fā)現(xiàn)蠕蟲病毒bulehero不僅使用弱口令爆破進行挖礦，而且還利用“永恒之藍”等多個服務器組件漏洞發(fā)起攻擊，短時間在內網(wǎng)即可完成橫向擴張，給網(wǎng)絡安全造成了極大的威脅。

安全技術專家分析發(fā)現(xiàn)，該木馬病毒與近期流行的“WannaCry”勒索病毒采用了類似的傳播方式。其采用與系統(tǒng)正常進程名Svchost.exe執(zhí)行文件相仿的scvsots.exe的下載器，通過釋放網(wǎng)絡掃描工具，在局域網(wǎng)內探測可以攻擊傳播的IP地址段，關閉Windows防火墻的同時，利用“永恒之藍”漏洞攻擊包，及多個服務器組件相關漏洞在局域網(wǎng)內攻擊傳播，最終創(chuàng)建開機啟動項，實現(xiàn)開機自行運行，達到橫向攻擊局域網(wǎng)內所有電腦的目的。

(圖：蠕蟲病毒bulehero攻擊流程圖)

一旦入侵成功，蠕蟲病毒就會從遠程服務器下載病毒代碼，進而橫向傳播給局域網(wǎng)內其他電腦。同時，該病毒還會在被感染電腦中留下后門病毒，為后續(xù)的惡意攻擊做足準備，給用戶帶來了極大的安全隱患。另外，騰訊智慧安全御見威脅情報中心監(jiān)測數(shù)據(jù)顯示，重慶、廣西以及江蘇等省市成為感染該病毒的集中地。

與以往木馬病毒相比，此次蠕蟲病毒bulehero在傳播方式大費心思，利用各種攻擊方式組成“廣撒網(wǎng)”的攻擊策略。不法黑客通過改造之前泄露的NSA黑客武器庫中“永恒之藍”攻擊程序發(fā)起網(wǎng)絡攻擊，利用攻擊工具WinStr045檢測網(wǎng)絡上存在的Struts 2漏洞執(zhí)行各類指令，同時使用Weblogic反序列化漏洞攻擊企業(yè)服務器，以及通過密碼字典進行猜解爆破登錄Mssql 1433端口弱口令進行溢出攻擊，最終實現(xiàn)本地提權、創(chuàng)建賬戶、系統(tǒng)信息搜集等目的。

可以看出，木馬病毒不斷變換的作案手法令用戶越來越難以察覺。同時結合近期頻發(fā)的網(wǎng)絡安全事件來看，不法黑客正在尋找更為隱蔽且高效的傳播方式，以實現(xiàn)自己的非法獲利企圖。

(圖：企業(yè)級安全防護產品騰訊御點)

因此，加強互聯(lián)網(wǎng)安全意識就顯得尤為重要。一方面，個人用戶務必提高網(wǎng)絡安全防范意識，養(yǎng)成良好的上網(wǎng)習慣，安裝并保持騰訊電腦管家等安全軟件實時開啟狀態(tài);另一方面，企業(yè)應設立相關的安全監(jiān)管部門，制定相關對應措施，同時優(yōu)先使用終端殺毒軟件，增強防御方案的完整性和立體性，在遭受攻擊時能更高效地解決問題，把企業(yè)損失降到最低。

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。