超两万台PC利用永恒之蓝漏洞挖矿

2019年11月13日00:01:37 发表评论

威胁情报中心检测到挖矿木马家族Lcy2Miner感染量上升,工程师对该病毒的感染进行回溯调查。结果发现,有攻击者搭建多个HFS服务器提供木马下载,并在其服务器web页面构造IE漏洞(CVE-2014-6332)攻击代码,当存在漏洞的电脑被诱骗访问攻击网站时,会触发漏洞下载大灰狼远程控制木马。接着由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块,然后利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播,最终攻击者通过组建僵尸网络挖矿牟利。

超两万台PC利用永恒之蓝漏洞挖矿

截止目前该团伙已通过挖矿获得门罗币147个,市值约6.5万元人民币。同时,中毒电脑被安装大灰狼远控木马,该木马具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能,远控木马对企业信息安全构成严重威胁。

从病毒感染的地区分布来看,Lcy2Miner挖矿木马在全国大部分地区均有感染,受害最严重的地区为北京、广东、河南等地。

CVE-2014-6332是微软2014年11月11日公布的一个IE浏览器漏洞,官方定义为远程代码执行漏洞,影响IE版本为IE3-IE11。这个五年前就发布的高危漏洞补丁,仍然有用户未能进行修补,结果造成数万台电脑中招。

漏洞成因为vbs引擎在执行Redim array(nNum)时会调用OLEAUT32.dll模块里面SafeArrayRedim函数,该函数内部处理逻辑不严谨,使用了错误的条件跳转指令,而且当传入的nNum足够大时,函数内部的数组空间申请会失败、SafeArrayRedim函数不做任何处理直接返回,导致返回时已经将nNum写入数组结构,后续对该数组便可以随意“越界”访问。

手动清除Lcy2Miner挖矿木马:

  1. 停止并删除服务“MicrosotMais”,执行文件也应一并删除,路径为C:\WINDOWS\Fonts\d1lhots.exe。
  2. 删除目录
  3. C:\Windows\Fonts\Mysql\
  4. 删除文件
  5. C:\Windows\SysWoW64\<random>.dll
  6. C:\WINDOWS\Fonts\conhost.exe
  7. C:\WINDOWS\Fonts\svchost.exe
  8. C:\WINDOWS\Fonts\d1lhots.exe

永恒之蓝漏洞防御方法:

  1. 服务器暂时关闭不必要的端口(如135139445
  2. 下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞:
  3. XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  4. Win7、win8.1、Windows Server 2008、Windows 10,Windows Server 2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

修复漏洞CVE-2014-6332参考微软官方公告安装补丁:

https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2014/ms14-064?redirectedfrom=MSDN

发表评论

后发表评论