您的位置:首页 > 国内新闻

瑞星:“DTLMiner”再次更新 成为首个利用BlueKeep漏洞的病毒

时间:2019-10-21
?

最近,瑞星安全研究所再次捕获了着名的采矿木马病毒“ DTLMiner”的最新变种,这是自2018年底以来该病毒的第20个更新。需要警惕的是,此更新变种不仅增加了受害者计算机性能的压缩程度,而且成为第一个利用BlueKeep漏洞的挖掘病毒(CVE-2019-0708)。

因此,BlueKeep漏洞(CVE-2019-0708)是今年暴露最广泛的威胁漏洞。它允许恶意软件在无需用户干预的情况下复制自身。攻击者可以使用远程桌面协议(RDS)连接到目标计算机,然后控制受害者的系统。值得注意的是,BlueKeep攻击可以像蠕虫一样被复制和传播,从而引发大规模的勒索攻击,例如WannaCry病毒。 BlueKeep漏洞影响了Windows XP,Windows Vista,Windows 7,Windows Server 2003和Windows Server 2008等操作系统中的远程桌面协议(RDP)服务。

在此最新版本的“ DTLMiner”中不断上升,发现该病毒作者在先前版本的基础上使用AMD Radeon图形卡和操作系统对64位计算机进行了进一步的性能压缩,原来AMD图形卡专用的模块被具有图形加速组件的挖掘模块所取代。这样做的意义是提高图形卡的挖掘效率,从而为病毒编写者带来更大的利益。

不断上升的安全专家提醒说,由于最新版本的“ DTLMiner”挖掘病毒利用了“杀死” BlueKeep RCE漏洞,因此用户仍在使用Windows XP,Windows Vista,Windows 7,Windows Server。诸如2003和Windows Server 2008之类的操作系统的用户应保持警惕并警惕。目前,瑞星的所有产品都具有病毒的防御和杀伤能力,用户可以升级到最新版本使用。

图: Rising Safe Cloud Terminal杀死“ DTLMiner”挖掘病毒

同时,由于“ DTLMiner”挖掘病毒对企业用户构成了巨大的潜在威胁,因此,请注意以下几点:

1。安装Eternal Blue漏洞修补程序,“第三代地震网络”(CVE-2017-8464)漏洞修补程序和BlueKeep(CVE-2019-0708)漏洞修补程序,以防止通过漏洞植入病毒;

2。请勿对系统和数据库使用弱密码帐户密码;

3。不要在多台计算机上使用相同的密码。该病毒将抢夺本地密码并攻击局域网中的其他计算机;

4。安装防病毒软件,并保持保护状态不变。

技术分析

新版本使用单独的脚本来下载和执行挖掘模块,以供使用AMD Radeon显卡且操作系统为64位的计算机使用。

图:远程下载并执行一个单独的脚本

图:混淆了独立脚本

在此独立脚本中,病毒首先创建互斥体,然后从服务器下载模块,并在指定目录中缺少OpenCL模块的情况下将其解压缩,然后下载挖掘模块,并在验证MD5后加载它。进入内存。

此版本中的水平传播模块发生了很大变化。第一种是修改脚本的最大单个运行时间,并将其更改为3小时。

图:修改了最大运行时间

然后屏蔽了原始的RDP爆破模块,并引入了一个新模块。

图:RDP的相关内容修改

经过代码比较,我们可以确认新引入的模块是BlueKeep漏洞(CVE-2019-0708)的检测模块。

检测模块在Github上仅具有Ruby(用于MetaSploit)和Python版本。我们推测作者应该将Python语言版本重写为PowerShell语言版本。相关的大量处理模块Github有很多C#语言实现代码,作者可以将代码原样复制到PowerShell脚本,然后调用add-type将其引入PowerShell以供脚本使用。

图:中的新代码与BlueKeep漏洞检测代码高度相似

图:在线C#版本大量处理代码

图:使用add-type将代码引入PowerShell

在检测到计算机中的BlueKeep漏洞后,脚本会将相关的检测结果报告给服务器。找不到进一步的操作。

图:检测到该漏洞并将结果报告给服务器

  • 友情链接:
  • 曲靖新闻网 版权所有© www.yzdlmy.com 技术支持:曲靖新闻网| 网站地图