近日，騰訊安全御見威脅情報中心捕獲到一個利用多種攻擊方式在內(nèi)網(wǎng)傳播的挖礦木馬SpreadMiner。該木馬利用永恒之藍漏洞（MS17－010）攻擊內(nèi)網(wǎng)，通過Lnk漏洞（CVE－2017－8464）感染共享目錄和移動存儲設(shè)備，同時還對MS SQL服務(wù)器進行弱口令爆破攻擊。企業(yè)網(wǎng)絡(luò)一旦攻陷，攻擊者不僅會執(zhí)行Payload植入挖礦木馬，而且還利用攻擊模塊為下一輪攻擊做準備，導(dǎo)致內(nèi)網(wǎng)中毒電腦不斷增加。截止目前，國內(nèi)企業(yè)電腦感染數(shù)已超5000臺。

因病毒作者在代碼多處用詞、命名十分粗魯，技術(shù)專家將其命名為“粗魯?shù)牡V工”。對于已中招的企業(yè)用戶，騰訊安全技術(shù)專家建議盡快修補漏洞，避免使用SQL弱密碼，推薦使用騰訊御點終端安全管理系統(tǒng)或騰訊電腦管家進行查殺。

據(jù)騰訊安全技術(shù)專家介紹，該木馬主要利用永恒之藍漏洞、Lnk漏洞、MS SQL弱口令爆破等方式同時對企業(yè)網(wǎng)絡(luò)發(fā)動攻擊�！按拄�?shù)牡V工”不僅會運行Spread．exe釋放門羅幣挖礦程序進行牟利，而且還不斷循環(huán)攻擊模塊，使得攻擊者在企業(yè)內(nèi)網(wǎng)進行大范圍的傳播。同時為避免消耗感染資源嚴重而暴露目標，該木馬會監(jiān)視檢查任務(wù)管理器進程，一旦發(fā)現(xiàn)，則會立刻退出程序停止挖礦。

（圖：“粗魯?shù)牡V工”攻擊流程）

此次“粗魯?shù)牡V工”利用的漏洞背后“大有來頭”，自2017年被不法黑客組織公開之后，永恒之藍漏洞備受攻擊者青睞，曾被WannaCry等多種著名勒索病毒使用，影響范圍遍及全球。盡管當前絕大多數(shù)用戶都已修復(fù)了該漏洞，但仍有一小部分未修復(fù)的企業(yè)用戶面臨被攻擊的風險。

“臭名昭著”的Lnk漏洞主要用來攻擊基礎(chǔ)設(shè)施、存放關(guān)鍵資料的核心隔離系統(tǒng)等，類似于震網(wǎng)病毒所使用的零日漏洞。其顯著特點是當用戶查看到攻擊Lnk文件所在的文件夾，就會觸發(fā)漏洞，如LNK病毒感染了移動存儲設(shè)備，或網(wǎng)絡(luò)共享文件夾時，存在漏洞的電腦只要瀏覽查看這個文件夾，就會中毒。因而有“看一眼就中毒”的“美譽”。此外，因部分企業(yè)管理員安全意識薄弱，在配置MS SQL服務(wù)器的sa賬號登錄時，使用強度較低的密碼，容易被不法黑客暴力破解。

面對愈發(fā)猖獗的“粗魯?shù)牡V工”木馬，騰訊安全反病毒實驗室負責人馬勁松提醒政企機構(gòu)務(wù)必高度重視，并提出三大安全建議：首先，加強企業(yè)網(wǎng)絡(luò)安全保護，及時下載并更新Windows系統(tǒng)補丁以及修復(fù)各類安全漏洞；其次，企業(yè)服務(wù)器須使用高強度密碼，切勿使用弱口令，以防遭不法黑客暴力破解；此外推薦全網(wǎng)部署騰訊御點終端安全管理系統(tǒng)，終端殺毒和修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護企業(yè)安全。

（圖：騰訊御點終端安全管理系統(tǒng)）