「紫狐」挖礦僵屍網絡利用新漏洞發起攻擊 360安全衛士第一時間支持防護

6月30日,有安全人員發佈一個Windows打印機遠程代碼執行漏洞概念驗證,並將該漏洞命名爲「PrintNightmare」。據悉,此漏洞可容許低權限用戶對本地網絡中的電腦發起攻擊,從而控制存在漏洞的電腦,而域環境中的普通用戶可以利用該漏洞對域控服務器發起攻擊,控制整個域。php

7月3日,微軟發佈公告稱「PrintNightmare」漏洞可影響幾乎全部主流Windows版本,具體漏洞編號爲CVE-2021-34527。而360安全大腦僅在公告發布一天後,就監測到「紫狐」挖礦僵屍網絡正利用「PrintNightmare」漏洞發起攻擊。html

據悉,「紫狐」僵屍網絡是一個規模龐大的挖礦僵屍網絡,慣常使用網頁掛馬、MsSQL數據庫弱口令爆破等方式入侵機器,入侵成功後會嘗試在局域網橫向移動,並在機器中植入挖礦木馬進行獲利。數據庫

經360高級威脅研究分析中心研判分析發現,「紫狐」僵屍網絡利用「PrintNightmare」漏洞入侵域內機器後,將文件名爲「AwNKBOdTxFBP.dll」的惡意dll注入打印機進程spoolsv.exe中,惡意dll會將惡意注入rundll32.exe,啓動PowerShell下載並執行殭屍程序。攻擊流程和惡意PowerShell代碼以下圖所示。安全

file

file

執行的PowerShell代碼,解碼後內容以下:服務器

file

file

待殭屍程序下載並執行後,受害機器就會完全淪爲「紫狐「僵屍網絡的一個節點,而且還會在挖礦的同時對網絡中的其餘機器發起攻擊。網絡

就在漏洞曝光後不久,360安全大腦漏洞防禦在第一時間支持了該漏洞的攻擊攔截,而且在360安全衛士、 Win7 盾甲等產品裏添加了針對該漏洞的微補丁免疫,可以使系統在未安裝補丁或沒法鏈接互聯網時,也能有效防護該類型的攻擊。htm

file

就在今天凌晨,微軟緊急推出了 「PrintNightmare」的修復補丁,而且對已經中止支持的Windows 7系統也發佈了相應補丁,可見這個漏洞影響之嚴重,360安全大腦建議用戶,儘快進行更新,預防該漏洞攻擊。blog

若是企業管理員想排查企業內網是否受到這次木馬攻擊,則可經過IOCS來排查。進程

IOCS:文檔

45c3f24d74a68b199c63c874f9d7cc9f

bc625f030c80f6119e61e486a584c934

hxxp://6kf[.]me/dl.php

除上述建議外,360安全大腦團隊還針對用戶安全,給出以下安全建議:

用戶在下載安裝軟件時,可優先經過軟件官網、360軟件管家查找安裝,以此來避免在不正規下載站下載後致使的惡意捆綁和故障;
提升安全意識,不隨意打開陌生人發來的各類文件,如需打開務必驗證文件後綴是否與文件名符合;
對於來路不明的電子郵件,提升警戒,不要輕易點擊打開其中包含的任何連接、附件;
可疑文檔勿啓用宏代碼,如打開過程發現任何警告信息,及時阻止,不要點擊忽略或容許。
做爲累計服務13億用戶的國民級PC安全產品,360安全衛士上線十五年來一直致力於爲用戶提供全方位的安全守護。目前,360安全衛士造成了集合木馬查殺、漏洞修復、隱私保護、勒索解密等多重功能於一體的安全解決方案。將來,360安全衛士將繼續深耕安全技術,爲用戶提供更加及時、更具針對性的安全守護。

https://www.freebuf.com/articles/network/279796.html

本文由博客一文多發平臺 OpenWrite 發佈!

相關文章
相關標籤/搜索