“紫狐”挖矿僵尸网络利用新漏洞发起攻击 360安全卫士第一时间支持防御 – 作者:360安全

6月30日,有安全人员发布一个Windows打印机远程代码执行漏洞概念验证,并将该漏洞命名为“PrintNightmare”。据悉,此漏洞可允许低权限用户对本地网络中的电脑发起攻击,从而控制存在漏洞的电脑,而域环境中的普通用户能够利用该漏洞对域控服务器发起攻击,控制整个域。

7月3日,微软发布公告称“PrintNightmare”漏洞可影响几乎所有主流Windows版本,具体漏洞编号为CVE-2021-34527。而360安全大脑仅在公告发布一天后,就监测到“紫狐”挖矿僵尸网络正利用“PrintNightmare”漏洞发起攻击。

据悉,“紫狐”僵尸网络是一个规模庞大的挖矿僵尸网络,惯常使用网页挂马、MsSQL数据库弱口令爆破等方式入侵机器,入侵成功后会尝试在局域网横向移动,并在机器中植入挖矿木马进行获利。

经360高级威胁研究分析中心研判分析发现,“紫狐”僵尸网络利用“PrintNightmare”漏洞入侵域内机器后,将文件名为“AwNKBOdTxFBP.dll”的恶意dll注入打印机进程spoolsv.exe中,恶意dll会将恶意注入rundll32.exe,启动PowerShell下载并执行僵尸程序。攻击流程和恶意PowerShell代码如下图所示。

图片[1]-“紫狐”挖矿僵尸网络利用新漏洞发起攻击 360安全卫士第一时间支持防御 – 作者:360安全-安全小百科图片[2]-“紫狐”挖矿僵尸网络利用新漏洞发起攻击 360安全卫士第一时间支持防御 – 作者:360安全-安全小百科

执行的PowerShell代码,解码后内容如下:图片[3]-“紫狐”挖矿僵尸网络利用新漏洞发起攻击 360安全卫士第一时间支持防御 – 作者:360安全-安全小百科图片[4]-“紫狐”挖矿僵尸网络利用新漏洞发起攻击 360安全卫士第一时间支持防御 – 作者:360安全-安全小百科

待僵尸程序下载并执行后,受害机器就会彻底沦为“紫狐“僵尸网络的一个节点,并且还会在挖矿的同时对网络中的其他机器发起攻击。

就在漏洞曝光后不久,360安全大脑漏洞防护在第一时间支持了该漏洞的攻击拦截,并且在360安全卫士、 Win7 盾甲等产品里添加了针对该漏洞的微补丁免疫,可使系统在未安装补丁或无法连接互联网时,也能有效防御该类型的攻击。

图片[5]-“紫狐”挖矿僵尸网络利用新漏洞发起攻击 360安全卫士第一时间支持防御 – 作者:360安全-安全小百科

就在今天凌晨,微软紧急推出了 “PrintNightmare”的修复补丁,并且对已经停止支持的Windows 7系统也发布了相应补丁,可见这个漏洞影响之严重,360安全大脑建议用户,尽快进行更新,预防该漏洞攻击。

如果企业管理员想排查企业内网是否受到此次木马攻击,则可通过IOCS来排查。

IOCS:

45c3f24d74a68b199c63c874f9d7cc9f

bc625f030c80f6119e61e486a584c934

hxxp://6kf[.]me/dl.php

除上述建议外,360安全大脑团队还针对用户安全,给出如下安全建议:

  1. 用户在下载安装软件时,可优先通过软件官网、360软件管家查找安装,以此来避免在不正规下载站下载后导致的恶意捆绑和故障;
  2. 提高安全意识,不随意打开陌生人发来的各种文件,如需打开务必验证文件后缀是否与文件名符合;
  3. 对于来路不明的电子邮件,提高警惕,不要轻易点击打开其中包含的任何链接、附件;
  4. 可疑文档勿启用宏代码,如打开过程发现任何警告信息,及时阻止,不要点击忽略或允许。

作为累计服务13亿用户的国民级PC安全产品,360安全卫士上线十五年来一直致力于为用户提供全方位的安全守护。目前,360安全卫士形成了集合木马查杀、漏洞修复、隐私保护、勒索解密等多重功能于一体的安全解决方案。未来,360安全卫士将继续深耕安全技术,为用户提供更加及时、更具针对性的安全守护。

来源:freebuf.com 2021-07-07 13:12:09 by: 360安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论