“永恒之蓝”漏洞利用再现，腾讯御见捕获WannaMiner挖矿木马

近年来，伴随比特币等区块链资产价格大幅飙升，巨额利益的刺激，数字货币挖矿的热潮随之兴起。与此同时，在不法黑客的操纵下，越来越多的恶意软件将控制电脑挖矿视为终极目标。

近日，腾讯安全御见威胁情报中心捕获一个名为WannaMiner的挖矿木马，该木马利用“永恒之蓝”漏洞在局域网内攻击传播，将染毒机器构建成一个健壮的僵尸网络，支持内网自更新，长期潜伏在电脑中以挖取门罗币。截至目前，国内已有近600家企业逾3万台电脑受到感染。腾讯安全御见威胁情报中心提醒各企业用户提高警惕，同时可以选择腾讯企业安全“御点”防御此类攻击。

（图：腾讯企业安全“御点”）

腾讯安全御见威胁情报中心监测发现，该病毒在2018年初开始传播并呈现上升趋势，受害者遍布科技公司、制造企业和政府机关等。其中医疗、教育等公共事业型单位一旦被攻击容易造成较大影响，建议相关单位尽快部署防御措施。

（图：受感染行业分布）

腾讯安全御见威胁情报中心对WannaMiner挖矿木马进行溯源分析发现，该木马主要通过“永恒之蓝”漏洞在局域网内攻击传播。臭名昭著的“永恒之蓝”漏洞曾经令企业网管闻之色变。2017年5月席卷全球的WannaCry勒索病毒利用的就是这个高危漏洞。据相关报道，该病毒影响了超过150个国家，造成的全球经济损失高达80亿美元。

与WannaCry不同的是，腾讯安全御见威胁情报中心此次发现的WannaMiner仅是利用“永恒之蓝”漏洞传播门罗币挖矿病毒，而不是加密破坏数据。挖矿病毒入侵后，用户最直观的感受就是电脑性能明显下降、发热量上升、风扇强化散热噪音增大。有经验的网民打开电脑任务管理器，会发现CPU和GPU占用率飙升到接近100%。由于电脑性能明显下降，会严重影响企业办公网络的正常运行。

此外，腾讯安全御见威胁情报中心的研究人员指出，WannaMiner木马能够利用“永恒之蓝”漏洞在局域网内主动攻击传播，说明至今仍有部分企业由于网络安全管理措施不足，迟迟未能修补这些高危漏洞，造成病毒木马入侵后迅速在局域网内扩散。由于其在内网传播过程中通过SMB进行内核攻击，可能造成企业内网大量机器出现蓝屏现象。值得庆幸的是，因普通个人电脑大多通过Windows安全更新和腾讯电脑管家等安全软件修补过安全漏洞，基本不受WannaMiner影响。

对此，腾讯安全御见威胁情报中心建议各企业用户，如果发现疑似WannaMiner挖矿木马，及时定位和隔离已中毒机器，可通过扫描26931端口判断，如该端口开放则主机已被感染；如需修补内网所有未安装补丁的电脑，可访问Microsoft目录更新页面（网址：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）下载补丁程序，其中WinXP，Windows Server 2003用户可访问：https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598。为更好地对抗挖矿木马等网络安全威胁，腾讯安全御见威胁情报中心建议全网安装专业终端安全管理软件，如腾讯御点（网址：https://s.tencent.com/product/yd/index.html），由管理员对全网进行批量杀毒和安装补丁，避免造成不必要的损失。