2017年5月，利用“永恒之藍(lán)”漏洞傳播的“WannaCry”勒索病毒肆虐，席卷全球150多個(gè)國(guó)家，給全球經(jīng)濟(jì)帶來巨大損失。時(shí)隔一年，雖然“WannaCry”已經(jīng)被打敗，“永恒之藍(lán)”漏洞卻余威尚在，關(guān)于企事業(yè)單位因未安裝補(bǔ)丁或部署該漏洞的防護(hù)類措施而中招的消息頻頻傳出。

近日，騰訊御見威脅情報(bào)中心捕獲一款門羅幣挖礦木馬，正是通過“永恒之藍(lán)”漏洞進(jìn)行傳播，企業(yè)服務(wù)器一旦被其攻陷，就會(huì)下載挖礦木馬包并運(yùn)行。該木馬于今年3月開始活動(dòng)，近期表現(xiàn)更加活躍，其挖礦收入已高達(dá)120萬人民幣，騰訊御見威脅情報(bào)中心將其命名為“微笑”。

（圖：騰訊電腦管家實(shí)時(shí)攔截“微笑”木馬）

在微笑的假面下，這個(gè)木馬的攻擊性卻很強(qiáng)?！拔⑿Α蹦抉R通過掃描器對(duì)企業(yè)網(wǎng)絡(luò)端口進(jìn)行掃描，并啟動(dòng)“永恒之藍(lán)”攻擊模塊，嘗試攻擊已開放445端口的主機(jī)。目標(biāo)服務(wù)器被成功攻陷后將訪問指定地址，下載文件名為weilai.exe或weixiao.exe的木馬包并運(yùn)行，將企業(yè)設(shè)備變成木馬作者的挖礦機(jī)器。

（圖：“微笑”木馬攻擊流程）

除挖礦外，“微笑”木馬的鍵盤記錄模塊還會(huì)竊取用戶隱私。其在后臺(tái)靜默上傳用戶的軟件安裝列表、寬帶用戶名密碼及一些硬件信息，甚至還能獲取用戶IP對(duì)應(yīng)的公司或精確位置，對(duì)企業(yè)信息安全造成嚴(yán)重威脅。

（圖：“微笑”木馬獲取企業(yè)精確位置）

通過對(duì)“微笑”木馬攻擊行為進(jìn)行追蹤，騰訊御見威脅情報(bào)中心成功鎖定了該木馬指定地址的域名注冊(cè)信息趙*，發(fā)現(xiàn)該木馬使用的錢包已經(jīng)累計(jì)挖取846枚門羅幣。按照最新匯率計(jì)算，折合人民幣約120萬元，這意味著，不法黑客利用微笑木馬在短短半年多時(shí)間內(nèi)就“賺”到上百萬元。

“永恒之藍(lán)”本是美國(guó)國(guó)家安全局NSA旗下的黑客組織Equation Group開發(fā)的網(wǎng)絡(luò)攻擊工具，它能夠掃描并利用運(yùn)行在TCP 445端口之上的Windows SMB文件共享協(xié)議的漏洞，上傳勒索軟件等惡意軟件到Windows系統(tǒng)。近一年來，從撒旦（Satan）勒索病毒、WannaMiner挖礦木馬到“微笑”木馬，“永恒之藍(lán)”漏洞已經(jīng)成為被利用程度最高的安全漏洞之一。

騰訊企業(yè)安全技術(shù)專家建議廣大企業(yè)用戶，如在企業(yè)內(nèi)網(wǎng)發(fā)現(xiàn)疑似“微笑”木馬襲擊，應(yīng)及時(shí)定位和隔離已中毒機(jī)器；迅速安裝“永恒之藍(lán)”漏洞補(bǔ)丁，手動(dòng)安裝“永恒之藍(lán)”漏洞補(bǔ)丁，可訪問補(bǔ)丁下載鏈接，其中WinXP、Windows Server 2003用戶可訪問；全網(wǎng)安裝專業(yè)終端安全管理軟件，如騰訊企業(yè)安全“御點(diǎn)”，由管理員對(duì)全網(wǎng)進(jìn)行批量殺毒和安裝補(bǔ)丁，后續(xù)可及時(shí)更新各類系統(tǒng)高危補(bǔ)丁，避免造成不必要的損失。

（圖：騰訊御點(diǎn)終端安全管理系統(tǒng)）