0
| 本文作者: 靈火K | 2019-03-03 16:10 |
雷鋒網(wǎng)3月3日消息,騰訊御見威脅情報(bào)中心發(fā)現(xiàn)Satan病毒最新變種,該變種病毒針對(duì)Windows系統(tǒng)和Linux系統(tǒng)進(jìn)行無(wú)差別攻擊,然后在中招電腦中植入勒索病毒勒索比特幣、同時(shí)植入挖礦木馬挖礦門羅幣。
研究人員稱:“病毒入侵系統(tǒng)后,同時(shí)植入勒索病毒和挖礦病毒的情況十分罕見,甚至令人舉得匪夷所思。這是因?yàn)橥诘V病毒需要較長(zhǎng)時(shí)間潛伏,生存時(shí)間越長(zhǎng),收益越大;而勒索病毒一旦加密用戶數(shù)據(jù),便會(huì)很快被用戶注意到。用戶一旦發(fā)現(xiàn)系統(tǒng)中了勒索病毒,往往會(huì)檢查系統(tǒng)進(jìn)行病毒查殺,或者將系統(tǒng)從網(wǎng)絡(luò)斷開,挖礦病毒便會(huì)難以藏身。
那么,這個(gè)Satan病毒最新變種是如何做到“雙重攻擊”的呢?經(jīng)研究后發(fā)現(xiàn),一方面,該病毒會(huì)在中招的Windows電腦中植入攻擊模塊conn.exe,該模塊通過(guò)使用永恒之藍(lán)漏洞對(duì)局域網(wǎng)Windows電腦進(jìn)行攻擊;另一方面,病毒會(huì)通過(guò)利用JBoss、Tomcat、Weblogic、Apache Struts2多個(gè)組件漏洞以及Tomcat弱口令爆破對(duì)Windows、Liunx服務(wù)器進(jìn)行攻擊;并在中招的Linux機(jī)器上植入攻擊模塊conn32/conn64,通過(guò)上述方式針對(duì)Linux系統(tǒng)利用SSH弱口令進(jìn)行爆破攻擊。
至此,最新的Satan變種木馬的攻擊方式會(huì)導(dǎo)致相應(yīng)的勒索、挖礦木馬同時(shí)在Windows系統(tǒng)、Linux系統(tǒng)中進(jìn)行蠕蟲式傳播。簡(jiǎn)單總結(jié)其攻擊過(guò)程,就是母體fast.exe在攻擊成功后首先被植入,作為downloader運(yùn)行后下載勒索模塊cpt.exe,挖礦模塊srv.exe以及攻擊模塊conn.exe。
安全建議
1.服務(wù)器暫時(shí)關(guān)閉不必要的端口(如135、139、445),方法可參考:https://guanjia.qq.com/web_clinic/s8/585.html
2.下載并更新Windows系統(tǒng)補(bǔ)丁,及時(shí)修復(fù)永恒之藍(lán)系列漏洞
XP、Windows Server 2003、win8等系統(tǒng)訪問(wèn):http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows 10, Windows Server 2016等系統(tǒng)訪問(wèn): https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
3.定期對(duì)服務(wù)器進(jìn)行加固,盡早修復(fù)服務(wù)器相關(guān)組件安全漏洞,安裝服務(wù)器端的安全軟件
4.服務(wù)器Tomcat后臺(tái)登錄、SSH登錄使用高強(qiáng)度密碼,切勿使用弱口令,防止黑客暴力破解
5. 使用安全軟件攔截可能的病毒攻擊
參考來(lái)源:騰訊御見威脅情報(bào)中心
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
