騰訊安全：永恒之藍(lán)下載器木馬再添BlueKeep漏洞攻擊，多系統(tǒng)版本均受影響

近日，騰訊安全御見威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，“永恒之藍(lán)下載器”木馬再次更新，新增了BlueKeep漏洞CVE-2019-0708檢測(cè)利用功能，影響Windows 7、XP、Server 2003、2008等多個(gè)系統(tǒng)版本。鑒于該漏洞危害影響極大，可形成類似WannaCry蠕蟲式漏洞傳播，騰訊安全建議企業(yè)用戶及時(shí)安裝相關(guān)補(bǔ)丁，并啟用安全軟件防御攻擊，避免進(jìn)一步造成重大安全事故。

據(jù)騰訊安全技術(shù)專家介紹，更新后的永恒之藍(lán)下載器木馬保留了MS17-010永恒之藍(lán)漏洞攻擊、SMB爆破攻擊、sql爆破攻擊等功能，并在攻擊成功的目標(biāo)機(jī)器上植入舊的攻擊模塊ipc.jsp，同時(shí)安裝計(jì)劃任務(wù)執(zhí)行多個(gè)Powershell后門，下載執(zhí)行新的攻擊模塊if.bin，為后續(xù)隨時(shí)發(fā)動(dòng)攻擊做足準(zhǔn)備。

(圖：永恒之藍(lán)下載器木馬變種攻擊流程圖)

值得一提的是，CVE-2019-0708為RDP遠(yuǎn)程代碼執(zhí)行漏洞，該漏洞無需身份認(rèn)證和用戶交互，檢測(cè)利用功能目前僅是上報(bào)漏洞信息并不會(huì)采取進(jìn)一步攻擊措施。截止目前，永恒之藍(lán)相關(guān)漏洞未修復(fù)的比例接近30%，而BlueKeep漏洞未修復(fù)的比例接近20%，驚人的數(shù)據(jù)背后給用戶網(wǎng)絡(luò)安全帶來巨大安全隱患。

自誕生以來，頻繁更新的永恒之藍(lán)下載器木馬令廣大用戶提心吊膽。在去年2018年底，永恒之藍(lán)下載器木馬首次通過“驅(qū)動(dòng)人生”系列軟件升級(jí)通道突然爆發(fā)傳播，利用“永恒之藍(lán)”高危漏洞在企業(yè)內(nèi)網(wǎng)呈蠕蟲式傳播，并通過云控下發(fā)惡意代碼，僅2個(gè)小時(shí)受攻擊用戶便高達(dá)10萬。所幸該攻擊剛開始便被騰訊安全御見威脅情報(bào)中心率先攔截查殺,影響并未進(jìn)一步擴(kuò)大。此后不到一年的時(shí)間內(nèi)，永恒之藍(lán)下載器木馬先后更新Powershell后門安裝、SMB爆破攻擊、MsSQL爆破攻擊，同時(shí)使用黑客工具mimiktaz、psexec進(jìn)行輔助攻擊等20多個(gè)版本。不同以往，此次永恒之藍(lán)下載器木馬新增了BlueKeep漏洞檢測(cè)代碼，不排除攻擊者隨時(shí)啟動(dòng)BlueKeep漏洞進(jìn)行攻擊的可能。

(圖：永恒之藍(lán)下載器木馬歷史變種版本回顧)

針對(duì)該木馬病毒對(duì)企業(yè)網(wǎng)絡(luò)安全帶來的潛在威脅，騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松提醒廣大企業(yè)用戶，建議參考微軟官方公告完成補(bǔ)丁安裝，可暫時(shí)關(guān)閉135、139、445等不必要的服務(wù)器端口;使用騰訊御點(diǎn)終端安全管理系統(tǒng)的漏洞修復(fù)功能，及時(shí)修復(fù)系統(tǒng)高危漏洞;服務(wù)器使用高強(qiáng)度密碼，切勿使用弱口令，防止黑客暴力破解;推薦部署騰訊御界高級(jí)威脅檢測(cè)系統(tǒng)檢測(cè)可能的黑客攻擊。該系統(tǒng)可高效檢測(cè)未知威脅，并通過對(duì)企業(yè)內(nèi)外網(wǎng)邊界處網(wǎng)絡(luò)流量的分析，感知漏洞的利用和攻擊。

(圖：騰訊御界高級(jí)威脅檢測(cè)系統(tǒng))

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。