新型木马“粗鲁的矿工”携三大攻击手段来袭 超5000台企业设备中招

近日，腾讯安全御见威胁情报中心捕获到一个利用多种攻击方式在内网传播的挖矿木马SpreadMiner。该木马利用永恒之蓝漏洞（MS17-010）攻击内网，通过Lnk漏洞（CVE-2017-8464）感染共享目录和移动存储设备，同时还对MS SQL服务器进行弱口令爆破攻击。企业网络一旦攻陷，攻击者不仅会执行Payload植入挖矿木马，而且还利用攻击模块为下一轮攻击做准备，导致内网中毒电脑不断增加。截止目前，国内企业电脑感染数已超5000台。

因病毒作者在代码多处用词、命名十分粗鲁，技术专家将其命名为“粗鲁的矿工”。对于已中招的企业用户，腾讯安全技术专家建议尽快修补漏洞，避免使用SQL弱密码，推荐使用腾讯御点终端安全管理系统或腾讯电脑管家进行查杀。

据腾讯安全技术专家介绍，该木马主要利用永恒之蓝漏洞、Lnk漏洞、MS SQL弱口令爆破等方式同时对企业网络发动攻击。“粗鲁的矿工”不仅会运行Spread.exe释放门罗币挖矿程序进行牟利，而且还不断循环攻击模块，使得攻击者在企业内网进行大范围的传播。同时为避免消耗感染资源严重而暴露目标，该木马会监视检查任务管理器进程，一旦发现，则会立刻退出程序停止挖矿。

（图：“粗鲁的矿工”攻击流程）

此次“粗鲁的矿工”利用的漏洞背后“大有来头”，自2017年被不法黑客组织公开之后，永恒之蓝漏洞备受攻击者青睐，曾被WannaCry等多种著名勒索病毒使用，影响范围遍及全球。尽管当前绝大多数用户都已修复了该漏洞，但仍有一小部分未修复的企业用户面临被攻击的风险。

“臭名昭著”的Lnk漏洞主要用来攻击基础设施、存放关键资料的核心隔离系统等，类似于震网病毒所使用的零日漏洞。其显著特点是当用户查看到攻击Lnk文件所在的文件夹，就会触发漏洞，如LNK病毒感染了移动存储设备，或网络共享文件夹时，存在漏洞的电脑只要浏览查看这个文件夹，就会中毒。因而有“看一眼就中毒”的“美誉”。此外，因部分企业管理员安全意识薄弱，在配置MS SQL服务器的sa账号登录时，使用强度较低的密码，容易被不法黑客暴力破解。

面对愈发猖獗的“粗鲁的矿工”木马，腾讯安全反病毒实验室负责人马劲松提醒政企机构务必高度重视，并提出三大安全建议：首先，加强企业网络安全保护，及时下载并更新Windows系统补丁以及修复各类安全漏洞；其次，企业服务器须使用高强度密码，切勿使用弱口令，以防遭不法黑客暴力破解；此外推荐全网部署腾讯御点终端安全管理系统，终端杀毒和修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

（图：腾讯御点终端安全管理系统）