当前位置:首页 > 网络黑客 > 正文内容

加密货币勒索软件 Miner 可利用 WMI 与 “ 永恒之蓝 ” 肆意传播

访客56年前 (1970-01-01)网络黑客633

据外媒 8 月 21 日报道,趋势科技( Trend Micro )研究人员近期发现加密货币勒索软件 Miner,允许黑客利用 Windows 管理工具 WMI 与安全漏洞 “ 永恒之蓝(EternalBlue)” 进行肆意传播。据悉,该勒索软件首次于今年 7 月发现,受其影响最严重的国家包括日本(43.05%)、印度尼西亚(21.36%)、台湾(13.67%)、泰国(10.07%)等。

图1. 2017 年 7 月至 8 月感染勒索软件 Miner 分布情况

研究人员表示,该勒索软件使用 WMI 作为无文件持久性机制,即由 WMI Standard Event Consumer 脚本应用程序(scrcons.exe)执行。此外,Miner 还使用 EternalBlue 漏洞感染系统 *** 。研究显示,无文件 WMI 脚本与 EternalBlue 的结合可以使 Miner 隐蔽持久的感染目标设备。

Miner 的感染流程分为多个阶段。首先,Miner 感染目标系统后会通过 EternalBlue 漏洞删除并运行系统后门(BKDR_FORSHARE.A);其次,系统在安装各种 WMI 脚本后,会将其连接到 C&C 服务器并获取指令;最终,目标系统将下载运行该恶意软件与其相关组件进行肆意传播。

图2. 感染流程

目前,安全专家提醒各机构 IT 管理员限制或禁用 WMI 管理工具、仅授予对需要访问 WMI 的特定管理员以降低 WMI 攻击风险。此外,管理员也可选择禁用  *** Bv1 以减少设备进一步受到危害。

附:趋势科技原文报告《 Cryptocurrency Miner Uses WMI and EternalBlue To Spread Filelessly 》

原作者:Pierluigi Paganini,译者:青楚
本文由 HackerNews.cc 翻译整理,封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/34393.html

“加密货币勒索软件 Miner 可利用 WMI 与 “ 永恒之蓝 ” 肆意传播” 的相关文章

黑客用新 Rootkit 攻击银行网络从 ATM 机上窃取资金

Hackernews 编译,转载请注明出处: 据观察,一个利益熏心的黑客正在部署一个全新的针对 Oracle Solaris 系统的 rootkit,目的是ATM机网络,并在不同银行使用伪造的卡进行未经授权的现金提款。 威胁情报和事件应急公司 Mandiant 正在追踪名为 UNC2891的组织,...

报道称 SafeGraph 正在出售访问堕胎诊所的人的位置数据

根据Motherboard购买的几组数据,一家定位数据公司正在出售与访问提供堕胎服务的诊所有关的信息,包括计划生育设施,显示访问这些地点的人群来自哪里,他们在那里停留了多长时间,以及他们随后去了哪里。 在泄露的最高法院意见草案中, Alito法官表示,法院准备废除罗伊诉韦德案的裁决,该案是数十年来为...

指挥着 10 万多台僵尸机器人网络的黑客被乌克兰警方抓获

乌克兰安全局(SBU)已经逮捕了一名黑客,他开发和利用了一个由超过10万个机器人组成的僵尸网络。该罪犯是一名居住在乌克兰伊万诺·弗兰科夫斯克的普里卡尔帕蒂亚地区的居民。这个庞大的机器人大军被用来触发分布式拒绝服务(DDoS)攻击或用于发送垃圾邮件。 除此以外,他还被用来通过暴力手段来窃取用户凭证,如...

CISA 主管:Log4j 漏洞影响巨大 安全业面临一场持久战

美国网络安全与基础设施安全局(CISA)高级官员周一表示,安全专业人员将在很长一段时间内,与严重的 Log4j 安全漏洞作斗争。如果未打补丁或无视修复,一个月前在 Apache Log4j 中曝光的 Java 日志库安全漏洞,将给互联网带来巨大的风险。网络攻击者可利用广泛使用的软件中的漏洞,接管受...

勒索未成 黑客公布威刚公司一半的被盗信息

Ragnar Locker背后的黑客成功地从台湾威刚公司窃取了超过1.5TB的数据,并在网上公布了其中超过700GB的数据。安全事务部表示,这些数据是以13个受密码保护的档案形式上传的。 这个网络犯罪团伙说,这1.5TB的被盗数据包含敏感信息,如保密协议、财务文件、合同和其他文件。该芯片制造商...

微软发布威胁警报:远程访问工具 RevengeRAT 正发起钓鱼攻击

近日微软发布威胁警报,称一款名为 RevengeRAT 的远程访问工具正针对航空航天和旅游行业发起鱼叉式钓鱼攻击。这种特殊的威胁是通过电子邮件传递的,在骗取收件人的信任之后诱导受害者打开 Adobe PDF 格式附件,并继续下载恶意文件。 微软解释道,攻击者利用这类远程访问木马盗取用户数据,而且...

评论列表

南殷歆笙
3年前 (2022-06-16)

MI 管理工具、仅授予对需要访问 WMI 的特定管理员以降低 WMI 攻击风险。此外,管理员也可选择禁用 SMBv1 以减少设备进一步受到危害。附:趋势科技原文报告《 Cryptocurrency Miner Uses WMI and EternalBlue To Spread Filele

忿咬拥欲
3年前 (2022-06-16)

ternalBlue 漏洞感染系统网络。研究显示,无文件 WMI 脚本与 EternalBlue 的结合可以使 Miner 隐蔽持久的感染目标设备。Miner 的感

颜于北念
3年前 (2022-06-16)

据外媒 8 月 21 日报道,趋势科技( Trend Micro )研究人员近期发现加密货币勒索软件 Miner,允许黑客利用 Windows 管理工具 WMI 与安全漏

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。