勒索软件Miner可利用WMI与“永恒之蓝”肆意传播

    趋势科技研究人员近期发现加密货币勒索软件 Miner，允许黑客利用 Windows 管理工具 WMI 与安全漏洞 “ 永恒之蓝（EternalBlue）” 进行肆意传播。据悉，该勒索软件首次于今年 7 月发现，受其影响最严重的国家包括日本（43.05%）、印度尼西亚（21.36%）、台湾（13.67%）、泰国（10.07%）等。

图1. 2017 年 7 月至 8 月感染勒索软件 Miner 分布情况

    研究人员表示，该勒索软件使用 WMI 作为无文件持久性机制，即由 WMI Standard Event Consumer 脚本应用程序（scrcons.exe）执行。此外，Miner 还使用 EternalBlue 漏洞感染系统网络。研究显示，无文件 WMI 脚本与 EternalBlue 的结合可以使 Miner 隐蔽持久的感染目标设备。

    Miner 的感染流程分为多个阶段。首先，Miner 感染目标系统后会通过 EternalBlue 漏洞删除并运行系统后门（BKDR_FORSHARE.A）；其次，系统在安装各种 WMI 脚本后，会将其连接到 C＆C 服务器并获取指令；最终，目标系统将下载运行该恶意软件与其相关组件进行肆意传播。

图2. 感染流程

    目前，安全专家提醒各机构 IT 管理员限制或禁用 WMI 管理工具、仅授予对需要访问 WMI 的特定管理员以降低 WMI 攻击风险。此外，管理员也可选择禁用 SMBv1 以减少设备进一步受到危害。

转自 HackerNews.cc

http://hackernews.cc/archives/13811

标签： isp 安全 服务器 脚本 漏洞 网络 选择

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点！
本站所提供的图片等素材，版权归原作者所有，如需使用，请与原作者联系。