每周典型威胁分析

 
     近日，安天 CERT（安全研究与应急 处理中心）在梳理网络安全事件时发现一 种 由 RADMIN 和 MIMIKATZ 组 合 而 成 的新型黑客工具，被用来在 Windows 系统 上植入门罗币恶意挖矿程序。它会扫描开 放端口 445 并利用 Windows SMB 服务器 漏洞 MS17-010（2017 年已发布补丁）进 行感染和传播。目前，该攻击活动主要针 对中国和意大利的公司。

      在 攻 击 时， 攻 击 者 首 先 通 过 MIMIKATZ 工具收集系统的账户信息和 凭证信息，随后利用 RADMIN 工具获取 管理员权限，并在系统中安装其他恶意软 件。在安装过程中，最初会在 Windows 目 录下释放一些随机命名的不相关的文件，分析显示，只有最后一个释放的文件是门 罗币恶意挖矿程序。由于这种随机命名性 和看似合法的 Windows API 函数调用，使 得它有可能逃避开安全软件的检测。最初 感染用户机器的恶意木马是通过用户访问 不良网站或者经过其他恶意软件的释放来 安装的，然而该木马本身并不下载挖矿软 件，它只会连接到几个 IP 地址，发送本机 信息，随后获取攻击端 RADMIN 传回的 命令，来远程下载和安装恶意挖矿软件。 该攻击活动高发在今年 1 月到 2 月之间， 即使在年后也并没有减弱的迹象。

      安天 CERT 提醒广大政企客户，要提 高网络安全意识，在日常工作中要及时进 行系统更新和漏洞修复，不要随意下载非正版的应用软件、非官方游戏、注册机等。 收发邮件时要确认收发来源是否可靠，更 加不要随意点击或者复制邮件中的网址， 不要轻易下载来源不明的附件，发现网络 异常要提高警惕并及时采取应对措施，养 成及时更新操作系统和软件应用的好习 惯。确保没有任何计算机运行直接连接到 Internet 的远程桌面服务，而是将运行远程 桌面的计算机放在 VPN 之后，只有使用 VPN 才能访问它们。同时也要做好文件的 备份，以防止勒索软件加密重要文件后无 法恢复。

      目前，安天追影产品已经实现了对该 类恶意代码的检出。