一年内数十次更新 ,360国内首家查杀变种RDP下载器木马

2017年,借助“永恒之蓝”的WannaCry勒索病毒暴击全球;而近一年时间里,同样搭载“永恒之蓝”的下载器木马历经数十次更新,多次濒临爆发边缘。

最近,360安全大脑就再度监测到此木马出现大规模更新,并且攻击趋势显著增长。不过,广大用户不必担心,360安全大脑已国内首家支持此木马最新版本的拦截查杀,第一时间守护用户网络安全。

下载器木马突增RDP爆破攻击,集结四大攻击模式

从360安全大脑溯源分析来看,此轮呈现上涨趋势的“永恒之蓝”下载器木马攻击,始于8月15日前后的一次大规模更新,该木马在原有基础上增加了RDP爆破模块。360安全专家分析指出,增加RDP爆破模块后,意味着下载器木马可接收控制模块提供的弱口令以及目标机器ip地址,对目标机器发起爆破攻击。爆破成功后会在目标机器上执行恶意Powershell代码,完全控制目标机器并利用目标机器资源进行门罗币挖矿。至此,该木马的传播模块已经集成了“永恒之蓝”漏洞攻击、SMB爆破攻击、MsSQL爆破攻击、RDP爆破攻击四种攻击模式。

一年内数十次更新 ,360国内首家查杀变种RDP下载器木马

图1 “永恒之蓝”下载器木马近一个月攻击趋势

从病毒拆解情况来看,新增RDP爆破模块是复用了FreeRDP代码才得以实现。而在病毒运行原理上,木马会通过控制服务器下载RDP爆破程序并保存在临时文件夹下,文件名一般为wfreerdp.exe。wfreerdp.exe文件作为RDP爆破模块,将与原有的“永恒之蓝”模块、ipc爆破模块和MsSQL爆破模块共存,以此对网络中存在漏洞或者弱口令设备发起攻击。从360安全大脑给出的弱口令字典来看,包括saadmin、123.com、Huawei@123、1qaz@WSX等在内的百余个弱口令都在攻击范围之内,威胁十分严峻。

一年内数十次更新 ,360国内首家查杀变种RDP下载器木马

图2 RDP爆破模块部分代码示意图

RDP模块复用了其他模块使用的弱口令字典 ,字典中包含的弱口令如下表所示:

一年内数十次更新 ,360国内首家查杀变种RDP下载器木马

数十次更新后威胁堪比“定时炸弹”,360国内首家支持查杀!

2018年底至今,在360安全大脑持续追踪的大半年里,下载器木马凭借“可随时更新木马组件”的灵活性,历经数十次更新迭代,已从早期的初级版本变身为现今兼具RDP爆破模块与“永恒之蓝”漏洞双重威力的难缠木马。

病毒发布与重大更新的时间点:

一年内数十次更新 ,360国内首家查杀变种RDP下载器木马

下载器木马频繁升级,攻击力“扶摇直上”,广大用户该如何抵挡木马的“奇袭”?在360安全大脑的赋能下,360安全卫士不仅首家监测到此木马新一轮的更新,并且无需升级即可拦截查杀;除此以外,360安全卫士还带有“永恒之蓝”漏洞免疫功能,可进一步保护用户免遭木马与“永恒之蓝”漏洞的双重威胁。

一年内数十次更新 ,360国内首家查杀变种RDP下载器木马

此外,360安全专家针对此次病毒的攻击模式,也给出了权威的网络安全防护建议:

1、360安全卫士能够第一时间拦截“永恒之蓝”下载器木马的RDP爆破模块,建议广大用户及时前往www.weishi .360.cn下载安装360安全卫士保护计算机安全;

2. 尽量使用包含数字、大小写字母、特殊字符等多个字符组成的较高强度的系统登录密码与数据库登录密码,不要使用弱口令; 请广大的管理员通过弱口令列表进行自检,防御“永恒之蓝”下载器木马的爆破攻击;

3. 及时安装系统和重要软件的安全补丁,修补系统漏洞。

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2019-08-23
一年内数十次更新 ,360国内首家查杀变种RDP下载器木马
2017年,借助“永恒之蓝”的WannaCry勒索病毒暴击全球;而近一年时间里,同样搭载“永恒之蓝”的下载器木马

长按扫码 阅读全文