174期报告汇总
安天发布《利用新型黑客工具传播挖矿木马活动的分析报告》
 
     近日,安天 CERT(安全研究与应急 处理中心)在梳理网络安全事件时发现一 种 由 RADMIN 和 MIMIKATZ 组 合 而 成 的新型黑客工具,被用来在 Windows 系统 上植入门罗币恶意挖矿程序。它会扫描开 放端口 445 并利用 Windows SMB 服务器 漏洞 MS17-010(2017 年已发布补丁)进 行感染和传播。目前,该攻击活动主要针 对中国和意大利的公司。

      在 攻 击 时, 攻 击 者 首 先 通 过 MIMIKATZ 工具收集系统的账户信息和 凭证信息,随后利用 RADMIN 工具获取 管理员权限,并在系统中安装其他恶意软 件。在安装过程中,最初会在 Windows 目 录下释放一些随机命名的不相关的文件,分析显示,只有最后一个释放的文件是门 罗币恶意挖矿程序。由于这种随机命名性 和看似合法的 Windows API 函数调用,使 得它有可能逃避开安全软件的检测。最初 感染用户机器的恶意木马是通过用户访问 不良网站或者经过其他恶意软件的释放来 安装的,然而该木马本身并不下载挖矿软 件,它只会连接到几个 IP 地址,发送本机 信息,随后获取攻击端 RADMIN 传回的 命令,来远程下载和安装恶意挖矿软件。 该攻击活动高发在今年 1 月到 2 月之间, 即使在年后也并没有减弱的迹象。

      安天 CERT 提醒广大政企客户,要提 高网络安全意识,在日常工作中要及时进 行系统更新和漏洞修复,不要随意下载非正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠,更 加不要随意点击或者复制邮件中的网址, 不要轻易下载来源不明的附件,发现网络 异常要提高警惕并及时采取应对措施,养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务,而是将运行远程 桌面的计算机放在 VPN 之后,只有使用 VPN 才能访问它们。同时也要做好文件的 备份,以防止勒索软件加密重要文件后无 法恢复。

      目前,安天追影产品已经实现了对该 类恶意代码的检出。