蠕虫病毒再现:「矿工」黑客发起BlueKeep首次不成熟攻击
还记得2017年那个令人闻风丧胆的WannaCry病毒吗?它最另人头痛的地方在于透过网络感染一部计算机后,以此为跳板来自动感染与这计算机连接的其他内网计算机,整个过程甚至不需要其他计算机用户进行任何操作。因此很多用户还没反应过来,无缘无故就中招了。因为可以自动传播出去,所以这种类型的攻击也称为「蠕虫攻击(Wormable attack)」。
而在上周六,国外就有人尝试利用一个名为BlueKeep(CVE-2019-0708)的潜在蠕虫病毒来发起网络攻击。
这个病毒威胁之大,甚至连美国国家安全局及英国国家网络安全中心都发出过警示,在今年5月份微软推送完一个针对该病毒的补丁后,呼吁Windows用户尽快更新这个安全补丁。
这次的攻击,应该是由虚拟币矿工发起的,因为包含这个病毒的恶意程序,是虚拟币Monero的一个挖掘程序。它以包含着加密讯息的PowerShell命令作为第一阶段的payload,然后连接到由黑客远程控制的服务器来下载最终的恶意二进制文件。被感染的计算机会自动开始挖矿。
病毒隐藏在C:\Windows\System32\spool\svchost.exe内
图片来源:Kevin Beaumont
幸运的是,这名黑客并没有把BlueKeep自身的可自动传播特点发挥出来。这名黑客似乎只是单纯把恶意程序透过互联网发出去,而恶意程序内的BlueKeep病毒缺少了重要的蠕虫部分,所以这次的攻击并不能够透过计算机与计算机间的连接,或者内网来扩散。
这次攻击威胁程度远不够WannaCry高,但这表明已经有人明白怎么利用这个病毒来发起攻击,甚至更进一步可以勒索被感染计算机的用户。
想避免中招,计算机用户可以第一,停用远程桌面协议;第二,用防火墙封锁3389端口,或者设置成只有透过VPN才能连接;第三,启用网络级身份验证,预防由没有合法账号的黑客发起的攻击。