新闻快讯
< >

加密货币勒索软件 Miner 黑客利用 WMI 与 “ 永恒之蓝 ” 肆意传播

据外媒 8 月 21 日报道,趋势科技( Trend Micro )研究人员近期发现加密货币勒索软件 Miner,允许黑客利用 Windows 管理工具 WMI 与安全漏洞 “ 永恒之蓝(EternalBlue)” 进行肆意传播。据悉,该勒索软件首次于今年 7 月发现,受其影响最严重的国家包括日本(43.05%)、印度尼西亚(21.36%)、台湾(13.67%)、泰国(10.07%)等。

加密货币勒索软件 Miner 黑客利用 WMI 与 “ 永恒之蓝 ” 肆意传播-E安全

图1. 2017 年 7 月至 8 月感染勒索软件 Miner 分布情况

研究人员表示,该勒索软件使用 WMI 作为无文件持久性机制,即由 WMI Standard Event Consumer 脚本应用程序(scrcons.exe)执行。此外,Miner 还使用 EternalBlue 漏洞感染系统网络。研究显示,无文件 WMI 脚本与 EternalBlue 的结合可以使 Miner 隐蔽持久的感染目标设备。

Miner 的感染流程分为多个阶段。首先,Miner 感染目标系统后会通过 EternalBlue 漏洞删除并运行系统后门(BKDR_FORSHARE.A);其次,系统在安装各种 WMI 脚本后,会将其连接到 C&C 服务器并获取指令;最终,目标系统将下载运行该恶意软件与其相关组件进行肆意传播。

加密货币勒索软件 Miner 黑客利用 WMI 与 “ 永恒之蓝 ” 肆意传播-E安全

图2. 感染流程

目前,安全专家提醒各机构 IT 管理员限制或禁用 WMI 管理工具、仅授予对需要访问 WMI 的特定管理员以降低 WMI 攻击风险。此外,管理员也可选择禁用 SMBv1 以减少设备进一步受到危害。

附:趋势科技原文报告《 Cryptocurrency Miner Uses WMI and EternalBlue To Spread Filelessly 

相关阅读:

普京网络顾问:俄罗斯四分之一电脑感染加密货币恶意挖矿软件
BTC-e事件:40亿美元诈骗 创始人意外死亡 加密货币平台暗流涌动
加密货币如何存储才最安全?
欧盟委员会:由于技术门槛过高,网络犯罪团伙很少使用加密货币
韩最大加密货币交易所被黑客攻击:3万客户数据泄露
加密货币犯罪引发关注 美国敦促加强非法离岸交易监管
两款新型Linux恶意软件:一个挖加密货币,一个创建代理网络
加密货币已进入高烧阶段,替代币风头已盖过比特币

文章来源:hackernews.cc 原文地址:http://hackernews.cc/archives/13811  原文标题: 加密货币勒索软件 Miner 可利用 WMI 与 “ 永恒之蓝 ” 肆意传播