「紫狐」挖礦僵屍網絡利用新漏洞發起攻擊 360安全衛士第一時間支持防護

6月30日，有安全人員發佈一個Windows打印機遠程代碼執行漏洞概念驗證，並將該漏洞命名爲「PrintNightmare」。據悉，此漏洞可容許低權限用戶對本地網絡中的電腦發起攻擊，從而控制存在漏洞的電腦，而域環境中的普通用戶可以利用該漏洞對域控服務器發起攻擊，控制整個域。

7月3日，微軟發佈公告稱「PrintNightmare」漏洞可影響幾乎全部主流Windows版本，具體漏洞編號爲CVE-2021-34527。而360安全大腦僅在公告發布一天後，就監測到「紫狐」挖礦僵屍網絡正利用「PrintNightmare」漏洞發起攻擊。

據悉，「紫狐」僵屍網絡是一個規模龐大的挖礦僵屍網絡，慣常使用網頁掛馬、MsSQL數據庫弱口令爆破等方式入侵機器，入侵成功後會嘗試在局域網橫向移動，並在機器中植入挖礦木馬進行獲利。

經360高級威脅研究分析中心研判分析發現，「紫狐」僵屍網絡利用「PrintNightmare」漏洞入侵域內機器後，將文件名爲「AwNKBOdTxFBP.dll」的惡意dll注入打印機進程spoolsv.exe中，惡意dll會將惡意注入rundll32.exe，啓動PowerShell下載並執行殭屍程序。攻擊流程和惡意PowerShell代碼以下圖所示。

執行的PowerShell代碼，解碼後內容以下：

待殭屍程序下載並執行後，受害機器就會完全淪爲「紫狐「僵屍網絡的一個節點，而且還會在挖礦的同時對網絡中的其餘機器發起攻擊。

就在漏洞曝光後不久，360安全大腦漏洞防禦在第一時間支持了該漏洞的攻擊攔截，而且在360安全衛士、 Win7 盾甲等產品裏添加了針對該漏洞的微補丁免疫，可以使系統在未安裝補丁或沒法鏈接互聯網時，也能有效防護該類型的攻擊。

就在今天凌晨，微軟緊急推出了 「PrintNightmare」的修復補丁，而且對已經中止支持的Windows 7系統也發佈了相應補丁，可見這個漏洞影響之嚴重，360安全大腦建議用戶，儘快進行更新，預防該漏洞攻擊。

若是企業管理員想排查企業內網是否受到這次木馬攻擊，則可經過IOCS來排查。

IOCS:

45c3f24d74a68b199c63c874f9d7cc9f

bc625f030c80f6119e61e486a584c934

hxxp://6kf[.]me/dl.php

除上述建議外，360安全大腦團隊還針對用戶安全，給出以下安全建議:

用戶在下載安裝軟件時,可優先經過軟件官網、360軟件管家查找安裝,以此來避免在不正規下載站下載後致使的惡意捆綁和故障；
提升安全意識,不隨意打開陌生人發來的各類文件,如需打開務必驗證文件後綴是否與文件名符合；
對於來路不明的電子郵件，提升警戒，不要輕易點擊打開其中包含的任何連接、附件；
可疑文檔勿啓用宏代碼，如打開過程發現任何警告信息，及時阻止，不要點擊忽略或容許。
做爲累計服務13億用戶的國民級PC安全產品，360安全衛士上線十五年來一直致力於爲用戶提供全方位的安全守護。目前，360安全衛士造成了集合木馬查殺、漏洞修復、隱私保護、勒索解密等多重功能於一體的安全解決方案。將來，360安全衛士將繼續深耕安全技術，爲用戶提供更加及時、更具針對性的安全守護。

https://www.freebuf.com/articles/network/279796.html

本文由博客一文多發平臺 OpenWrite 發佈！