“永恒之蓝”下载器木马集成“四大攻击模式”,威胁骤增再度袭来

  • 时间:
  • 浏览:0
  • 来源:快3平台推荐_快3平台彩票

2017年,借助“永恒之蓝”的WannaCry勒索病毒暴击全球;而近一年时间里,同样搭载“永恒之蓝”的下载器木马历经数十次更新,多次濒临爆发边缘。

最近,330安全大脑就再度监测到此木马突然出现大规模更新,时候 攻击趋势显著增长。不过,广大用户暂且担心,330安全大脑已国内首家支持此木马最新版本的拦截查杀,第一时间守护用户网络安全。

下载器木马突增RDP爆破攻击,集结四大攻击模式

从330安全大脑溯源分析来看,此轮呈现上涨趋势的“永恒之蓝”下载器木马攻击,开始8月15日前后的一次大规模更新,该木马在原有基础上增加了RDP爆破模块。330安全专家分析指出,增加RDP爆破模块后,由于着分析下载器木马可接收控制模块提供的弱口令以及目标机器ip地址,对目标机器发起爆破攻击。爆破成功一定会在目标机器上执行恶意Powershell代码,删剪控制目标机器并利用目标机器资源进行门罗币挖矿。至此,该木马的传播模块可能集成了“永恒之蓝”漏洞攻击、SMB爆破攻击、MsSQL爆破攻击、RDP爆破攻击这种攻击模式。

图1 “永恒之蓝”下载器木马近有两个月攻击趋势

从病毒拆解清况 来看,新增RDP爆破模块是复用了FreeRDP代码才得以实现。而在病毒运行原理上,木马会通过控制服务器下载RDP爆破守护程序并保所处临时文件夹下,文件名一般为wfreerdp.exe。wfreerdp.exe文件作为RDP爆破模块,将与原有的“永恒之蓝”模块、ipc爆破模块和MsSQL爆破模块共存,以此对网络中所处漏洞可能弱口令设备发起攻击。从330安全大脑给出的弱口令字典来看,包括saadmin、123.com、Huawei@123、1qaz@WSX等在内的百余个弱口令一定会攻击范围之内,威胁十分严峻。

图2 RDP爆破模块每段代码示意图

RDP模块复用了其他模块使用的弱口令字典 ,字典中所含的弱口令如下表所示:

数十次更新后威胁堪比“定时炸弹”,330国内首家支持查杀!

2018年底至今,在330安全大脑持续追踪的大两天 里,下载器木马凭借“可随时更新木马组件”的灵活性,历经数十次更新迭代,已从早期的初级版本变身为现今兼具RDP爆破模块与“永恒之蓝”漏洞双重威力的难缠木马。

病毒发布与重大更新的时间点:

下载器木马频繁升级,攻击力“扶摇直上”,广大用户该咋样抵挡木马的“奇袭”?在330安全大脑的赋能下,330安全卫士不仅首家监测到此木马新一轮的更新,时候 越来越多再升级即可拦截查杀;除此以外,330安全卫士还所含“永恒之蓝”漏洞免疫功能,可进一步保护用户免遭木马与“永恒之蓝”漏洞的双重威胁。

此外,330安全专家针对此次病毒的攻击模式,也给出了权威的网络安全防护建议:

1、330安全卫士能能第一时间拦截“永恒之蓝”下载器木马的RDP爆破模块,建议广大用户及时前往www.weishi .330.cn下载安装330安全卫士保护计算机安全;

2. 尽量使用所含数字、大小写字母、特殊字符等多个字符组成的较高波特率的系统登录密码与数据库登录密码,暂且使用弱口令; 请广大的管理员通过弱口令列表进行自检,防御“永恒之蓝”下载器木马的爆破攻击;

3. 及时安装系统和重要软件的安全补丁,修补系统漏洞。