“匿影”挖矿木马持续活跃,入侵某旅游网站做病毒下载服务器

2020-06-09 来源:原创 作者:腾讯电脑管家
【文章摘要】腾讯安全威胁情报中心检测到“匿影”挖矿木马变种攻击。“匿影”挖矿木马在受害电脑上挖多种虚拟币,降低系统性能,利用永恒之蓝漏洞的攻击会对企业网络带来更大风险。政企机构可使用腾讯电脑管家小团队版对挖矿木马系列变种进行检测查杀。

一、背景

腾讯安全威胁情报中心检测到“匿影”挖矿木马变种攻击,匿影木马新变种在已安装腾讯电脑管家等安全软件的电脑上不运行,试图避免被安全厂商检测到。该变种木马依然利用永恒之蓝漏洞进行攻击传播,通过计划任务、WMI后门进行本地持久化,然后在攻陷机器下载XMRig矿机挖矿门罗币、下载nbminer矿机挖矿HNSHandshake),还会利用regsvr32.exe加载执行DLL形式的木马程序。

 “匿影”挖矿木马擅长利用利用各类公共网址进行数据统计和木马下载,此次变种攻陷了某旅游文化网站并将其作为木马下载服务器,其使用过的公共网址如下:

upload.ee 免费网盘

anonfiles.com 免费图床

sowcar.com 免费图床

popo8.com 免费图床

img.vim-cn.com 免费图床

urlxxx.at.ua 建站服务

mywebnew.ucoz.pl 建站服务

addressnet.do.am 建站服务

googlenew.moy.su 建站服务

ludengapp.com 某设计公司网站

worldyou.top 某文旅公司网站(新)

二、解决方案

“匿影”挖矿木马在受害电脑上挖多种虚拟币,降低系统性能,利用永恒之蓝漏洞的攻击会对企业网络带来更大风险。中小微企业用户可使用腾讯电脑管家小团队版https://team.qq.com/site/index.html对挖矿木马系列变种进行检测查杀,并实时检测团队设备运行状况。

腾讯电脑管家小团队版面向中小微企业,功能丰富且永久免费,可对企业IT资产统一高效管理。企业只需注册并下载客户端,即可免费享受专业的终端安全管理服务,有效满足中小企业安全运维降本增效的诉求。

管理后台的首页概览可帮助管理员了解当前团队的总体设备安全状态、预警情况、资产管理,同时还展示了团队的网络资源使用情况和公告投放的进度。预警卡片将为管理员展示当前团队中有异常的设备数,预警的内容包括设备安全状态的预警、设备运行健康度的预警和硬件变更类的预警,实时检测团队设备安全。


当遭遇安全威胁时,管理员可通过后台对风险设备下发安全策略,及时推动员工杀毒、修复漏洞等,还能定期下发杀毒、体检通知,实时保障设备安全性。同时,软件会对U盘插入、客户端退出/卸载、设备硬件变更、管理员后台操作等各类行为生成日志审计。

团队成员均可使用电脑管家客户端进行病毒查杀、垃圾清理、电脑加速、软件管理等功能操作,保持电脑健康,改善运行体验。



三、样本分析

“匿影”挖矿木马释放永恒之蓝漏洞利用攻击程序包到C:\Users\Public目录下并启动主程序storageg.exe开始扫描攻击。