加密货币勒索软件 miner 可利用 wmi 与 “ 永恒之蓝 ” 肆意传播
2017-08-23 09:52:02
据外媒 8 月 21 日报道,趋势科技( )研究人员近期发现加密货币勒索软件 miner,允许黑客利用 windows 管理工具 wmi 与安全漏洞 “ 永恒之蓝(eternalblue)” 进行肆意传播。据悉,该勒索软件首次于今年 7 月发现,受其影响最严重的国家包括日本(43.05%)、印度尼西亚(21.36%)、台湾(13.67%)、泰国(10.07%)等。
图1. 2017 年 7 月至 8 月感染勒索软件 miner 分布情况
研究人员表示,该勒索软件使用 wmi 作为无文件持久性机制,即由 wmi standard event consumer 脚本应用程序(scrcons.exe)执行。此外,miner 还使用 eternalblue 漏洞感染系统网络。研究显示,无文件 wmi 脚本与 eternalblue 的结合可以使 miner 隐蔽持久的感染目标设备。
miner 的感染流程分为多个阶段。首先,miner 感染目标系统后会通过 eternalblue 漏洞删除并运行系统后门(bkdr_forshare.a);其次,系统在安装各种 wmi 脚本后,会将其连接到 c&c 服务器并获取指令;最终,目标系统将下载运行该恶意软件与其相关组件进行肆意传播。
图2. 感染流程
目前,安全专家提醒各机构 it 管理员限制或禁用 wmi 管理工具、仅授予对需要访问 wmi 的特定管理员以降低 wmi 攻击风险。此外,管理员也可选择禁用 smbv1 以减少设备进一步受到危害。
官方微信