“永恒之蓝”死灰复燃：1.5万台服务器变矿机

　　2017年5月，“永恒之蓝”席卷全球，有90个国家遭到攻击，国内教育网是遭到攻击的重灾区，大量校园网用户成为攻击目标，致使许多实验数据及毕业设计被锁。

　　近日，腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种，此次变种利用Python打包EXE可执行文件进行攻击，该组织曾在2018年底使用过类似手法。

　　腾讯安全大数据监测数据显示，永恒之蓝下载器最新变种出现之后便迅速传播，目前已感染约1.5万台服务器，中毒系统最终用于下载运行门罗币挖矿木马。

　　腾讯方面表示，永恒之蓝下载器木马在不断演进更新过程中，曾将EXE攻击方式逐步切换到利用Powershell脚本实现无文件攻击。在其功能越来越庞大之后，该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql爆破攻击的代码重新添加到EXE木马中，并对Powershell中相关代码进行屏蔽。

　　被​本次变种攻击​失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播，同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿，会给受害企业造成严重生产力损失。

　　腾讯安全专家建议企业网管对企业网络资产进行安全检测，以及时消除永恒之蓝下载器木马的破坏活动。

特别提醒：本网内容转载自其他媒体，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。