“紫狐”挖矿僵尸网络利用新漏洞发起攻击 360安全卫士第一时间支持防御
6月30日,有安全人员发布一个Windows打印机远程代码执行漏洞概念验证,并将该漏洞命名为“PrintNightmare”。据悉,此漏洞可允许低权限用户对本地网络中的电脑发起攻击,从而控制存在漏洞的电脑,而域环境中的普通用户能够利用该漏洞对域控服务器发起攻击,控制整个域。
7月3日,微软发布公告称“PrintNightmare”漏洞可影响几乎所有主流Windows版本,具体漏洞编号为CVE-2021-34527。而360安全大脑仅在公告发布一天后,就监测到“紫狐”挖矿僵尸网络正利用“PrintNightmare”漏洞发起攻击。
据悉,“紫狐”僵尸网络是一个规模庞大的挖矿僵尸网络,惯常使用网页挂马、MsSQL数据库弱口令爆破等方式入侵机器,入侵成功后会尝试在局域网横向移动,并在机器中植入挖矿木马进行获利。
经360高级威胁研究分析中心研判分析发现,“紫狐”僵尸网络利用“PrintNightmare”漏洞入侵域内机器后,将文件名为“AwNKBOdTxFBP.dll”的恶意dll注入打印机进程spoolsv.exe中,恶意dll会将恶意注入rundll32.exe,启动PowerShell下载并执行僵尸程序。攻击流程和恶意PowerShell代码如下图所示。
执行的PowerShell代码,解码后内容如下:
待僵尸程序下载并执行后,受害机器就会彻底沦为“紫狐“僵尸网络的一个节点,并且还会在挖矿的同时对网络中的其他机器发起攻击。
就在漏洞曝光后不久,360安全大脑漏洞防护在第一时间支持了该漏洞的攻击拦截,并且在360安全卫士、 Win7 盾甲等产品里添加了针对该漏洞的微补丁免疫,可使系统在未安装补丁或无法连接互联网时,也能有效防御该类型的攻击。
就在今天凌晨,微软紧急推出了 “PrintNightmare”的修复补丁,并且对已经停止支持的Windows 7系统也发布了相应补丁,可见这个漏洞影响之严重,360安全大脑建议用户,尽快进行更新,预防该漏洞攻击。
如果企业管理员想排查企业内网是否受到此次木马攻击,则可通过IOCS来排查。
IOCS:
45c3f24d74a68b199c63c874f9d7cc9f
bc625f030c80f6119e61e486a584c934
hxxp://6kf[.]me/dl.php
除上述建议外,360安全大脑团队还针对用户安全,给出如下安全建议:
- 用户在下载安装软件时,可优先通过软件官网、360软件管家查找安装,以此来避免在不正规下载站下载后导致的恶意捆绑和故障;
- 提高安全意识,不随意打开陌生人发来的各种文件,如需打开务必验证文件后缀是否与文件名符合;
- 对于来路不明的电子邮件,提高警惕,不要轻易点击打开其中包含的任何链接、附件;
- 可疑文档勿启用宏代码,如打开过程发现任何警告信息,及时阻止,不要点击忽略或允许。
作为累计服务13亿用户的PC安全产品,360安全卫士上线十五年来一直致力于为用户提供全方位的安全守护。目前,360安全卫士形成了集合木马查杀、漏洞修复、隐私保护、勒索解密等多重功能于一体的安全解决方案。未来,360安全卫士将继续深耕安全技术,为用户提供更加及时、更具针对性的安全守护。
