近日,腾讯安全御见威胁情报中心再次监测到一款全新变种的BuleHero挖矿蠕虫。结合对该病毒发展轨迹的梳理发现,与以往披露的多个历史变种不同,这一BuleHero挖矿蠕虫“新成员”新增了4899端口(即远程桌面管理工具Remote Administrator默认使用的端口)爆破攻击和“永恒浪漫”及“永恒冠军”等NSA新武器。其内网横向感染传播能力更为强大。
该变种病毒通过Remote Administrator默认使用的端口爆破即可获得对目标电脑的完全控制权,并通过门罗币挖矿程序的释放植入,达到占用目标服务器资源进行挖矿的目的。同时,其还会向目标电脑释放Gh0st修改版远控木马,远程控制手段更为高超。该病毒一旦入侵成功,将对企业网络安全和正常业务的运行带来极大危害。
面对较以往更为“用心”的病毒作者和变种攻击的高感染性,腾讯安全技术专家提醒广大企业用户提高警惕。目前,腾讯御点终端安全管理系统已可全面拦截并查杀该全新BuleHero挖矿蠕虫病毒。
(图:腾讯御点终端安全管理系统)
据腾讯安全技术专家介绍,自2018年8月首次监测发现挖矿蠕虫病毒BuleHero以来,腾讯安全御见威胁情报中心已是第四次检测到这一挖矿蠕虫的全新变种。持续跟踪的数据显示,作为近期最活跃的挖矿蠕虫病毒之一,该病毒擅长利用包括Windows系统、服务器组件在内的各类漏洞和弱密码爆破等发起攻击,并能在短时间间完成在内网的横向扩张,从而“绑架”局域网内的其他电脑一起进行挖矿。
(图:御见威胁情报中心监测到的BuleHero发展时间线)
此次最新检测发现的BuleHero变种,基本遵循该类病毒惯用的攻击逻辑。然而,其虽也以从远程服务器下载病毒程序为攻击开端,但在端口爆破工具、NSA武器及远控木马安装上的更新,则极大地增大了病毒的漏洞攻击和远控力,将给相关企业业务带来极大威胁。
(图:BuleHero蠕虫病毒的漏洞利用列表【橙色为新增,灰色为已放弃】)
为更好地应对日益隐秘的黑产作案手段,遏制新型变种Bulehero蠕虫病毒带来的扩散态势,腾讯安全反病毒实验室负责人马劲松建议广大企业网络管理员关闭不必要的服务器端口,使用高强度密码,防止不法黑客暴力破解;下载并更新Windows系统补丁,及时下载并更新Windows系统补丁和修复永恒之蓝系列漏洞;定期对服务器进行加固,尽早修复服务器相关组件的安全漏洞;同时,还建议企业用户实时开启腾讯御点终端安全管理系统进行拦截查杀。
(图:腾讯御界高级威胁检测系统)
此外,马劲松还建议企业客户部署腾讯御界高级威胁检测系统以防御可能随时爆发的黑客攻击。腾讯御界高级威胁检测系统是腾讯安全基于腾讯安全反病毒实验室的安全能力,依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,能协助企业及时发现恶意攻击,切实保护好企业安全。
