一年內(nèi)數(shù)十次更新 ，360國內(nèi)首家查殺變種RDP下載器木馬

2017年，借助“永恒之藍(lán)”的WannaCry勒索病毒暴擊全球;而近一年時間里，同樣搭載“永恒之藍(lán)”的下載器木馬歷經(jīng)數(shù)十次更新，多次瀕臨爆發(fā)邊緣。

最近，360安全大腦就再度監(jiān)測到此木馬出現(xiàn)大規(guī)模更新，并且攻擊趨勢顯著增長。不過，廣大用戶不必?fù)?dān)心，360安全大腦已國內(nèi)首家支持此木馬最新版本的攔截查殺，第一時間守護(hù)用戶網(wǎng)絡(luò)安全。

下載器木馬突增RDP爆破攻擊，集結(jié)四大攻擊模式

從360安全大腦溯源分析來看，此輪呈現(xiàn)上漲趨勢的“永恒之藍(lán)”下載器木馬攻擊，始于8月15日前后的一次大規(guī)模更新，該木馬在原有基礎(chǔ)上增加了RDP爆破模塊。360安全專家分析指出，增加RDP爆破模塊后，意味著下載器木馬可接收控制模塊提供的弱口令以及目標(biāo)機(jī)器ip地址，對目標(biāo)機(jī)器發(fā)起爆破攻擊。爆破成功后會在目標(biāo)機(jī)器上執(zhí)行惡意Powershell代碼，完全控制目標(biāo)機(jī)器并利用目標(biāo)機(jī)器資源進(jìn)行門羅幣挖礦。至此，該木馬的傳播模塊已經(jīng)集成了“永恒之藍(lán)”漏洞攻擊、SMB爆破攻擊、MsSQL爆破攻擊、RDP爆破攻擊四種攻擊模式。

圖1 “永恒之藍(lán)”下載器木馬近一個月攻擊趨勢

從病毒拆解情況來看，新增RDP爆破模塊是復(fù)用了FreeRDP代碼才得以實(shí)現(xiàn)。而在病毒運(yùn)行原理上，木馬會通過控制服務(wù)器下載RDP爆破程序并保存在臨時文件夾下，文件名一般為wfreerdp.exe。wfreerdp.exe文件作為RDP爆破模塊，將與原有的“永恒之藍(lán)”模塊、ipc爆破模塊和MsSQL爆破模塊共存，以此對網(wǎng)絡(luò)中存在漏洞或者弱口令設(shè)備發(fā)起攻擊。從360安全大腦給出的弱口令字典來看，包括saadmin、123.com、Huawei@123、1qaz@WSX等在內(nèi)的百余個弱口令都在攻擊范圍之內(nèi)，威脅十分嚴(yán)峻。

圖2 RDP爆破模塊部分代碼示意圖

RDP模塊復(fù)用了其他模塊使用的弱口令字典 ，字典中包含的弱口令如下表所示：

數(shù)十次更新后威脅堪比“定時炸彈”，360國內(nèi)首家支持查殺!

2018年底至今，在360安全大腦持續(xù)追蹤的大半年里，下載器木馬憑借“可隨時更新木馬組件”的靈活性，歷經(jīng)數(shù)十次更新迭代，已從早期的初級版本變身為現(xiàn)今兼具RDP爆破模塊與“永恒之藍(lán)”漏洞雙重威力的難纏木馬。

病毒發(fā)布與重大更新的時間點(diǎn)：

下載器木馬頻繁升級，攻擊力“扶搖直上”，廣大用戶該如何抵擋木馬的“奇襲”?在360安全大腦的賦能下，360安全衛(wèi)士不僅首家監(jiān)測到此木馬新一輪的更新，并且無需升級即可攔截查殺;除此以外，360安全衛(wèi)士還帶有“永恒之藍(lán)”漏洞免疫功能，可進(jìn)一步保護(hù)用戶免遭木馬與“永恒之藍(lán)”漏洞的雙重威脅。

此外，360安全專家針對此次病毒的攻擊模式，也給出了權(quán)威的網(wǎng)絡(luò)安全防護(hù)建議：

1、360安全衛(wèi)士能夠第一時間攔截“永恒之藍(lán)”下載器木馬的RDP爆破模塊，建議廣大用戶及時前往www.weishi .#下載安裝360安全衛(wèi)士保護(hù)計算機(jī)安全;

2. 盡量使用包含數(shù)字、大小寫字母、特殊字符等多個字符組成的較高強(qiáng)度的系統(tǒng)登錄密碼與數(shù)據(jù)庫登錄密碼，不要使用弱口令; 請廣大的管理員通過弱口令列表進(jìn)行自檢，防御“永恒之藍(lán)”下載器木馬的爆破攻擊;

3. 及時安裝系統(tǒng)和重要軟件的安全補(bǔ)丁，修補(bǔ)系統(tǒng)漏洞。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。