近日，騰訊安全御見威脅情報(bào)中心捕獲到一個(gè)利用多種攻擊方式在內(nèi)網(wǎng)傳播的挖礦木馬SpreadMiner。該木馬利用永恒之藍(lán)漏洞（MS17－010）攻擊內(nèi)網(wǎng)，通過Lnk漏洞（CVE－2017－8464）感染共享目錄和移動(dòng)存儲設(shè)備，同時(shí)還對MS SQL服務(wù)器進(jìn)行弱口令爆破攻擊。企業(yè)網(wǎng)絡(luò)一旦攻陷，攻擊者不僅會執(zhí)行Payload植入挖礦木馬，而且還利用攻擊模塊為下一輪攻擊做準(zhǔn)備，導(dǎo)致內(nèi)網(wǎng)中毒電腦不斷增加。截止目前，國內(nèi)企業(yè)電腦感染數(shù)已超5000臺。

因病毒作者在代碼多處用詞、命名十分粗魯，技術(shù)專家將其命名為“粗魯?shù)牡V工”。對于已中招的企業(yè)用戶，騰訊安全技術(shù)專家建議盡快修補(bǔ)漏洞，避免使用SQL弱密碼，推薦使用騰訊御點(diǎn)終端安全管理系統(tǒng)或騰訊電腦管家進(jìn)行查殺。

據(jù)騰訊安全技術(shù)專家介紹，該木馬主要利用永恒之藍(lán)漏洞、Lnk漏洞、MS SQL弱口令爆破等方式同時(shí)對企業(yè)網(wǎng)絡(luò)發(fā)動(dòng)攻擊�！按拄�?shù)牡V工”不僅會運(yùn)行Spread．exe釋放門羅幣挖礦程序進(jìn)行牟利，而且還不斷循環(huán)攻擊模塊，使得攻擊者在企業(yè)內(nèi)網(wǎng)進(jìn)行大范圍的傳播。同時(shí)為避免消耗感染資源嚴(yán)重而暴露目標(biāo)，該木馬會監(jiān)視檢查任務(wù)管理器進(jìn)程，一旦發(fā)現(xiàn)，則會立刻退出程序停止挖礦。

（圖：“粗魯?shù)牡V工”攻擊流程）

此次“粗魯?shù)牡V工”利用的漏洞背后“大有來頭”，自2017年被不法黑客組織公開之后，永恒之藍(lán)漏洞備受攻擊者青睞，曾被WannaCry等多種著名勒索病毒使用，影響范圍遍及全球。盡管當(dāng)前絕大多數(shù)用戶都已修復(fù)了該漏洞，但仍有一小部分未修復(fù)的企業(yè)用戶面臨被攻擊的風(fēng)險(xiǎn)。

“臭名昭著”的Lnk漏洞主要用來攻擊基礎(chǔ)設(shè)施、存放關(guān)鍵資料的核心隔離系統(tǒng)等，類似于震網(wǎng)病毒所使用的零日漏洞。其顯著特點(diǎn)是當(dāng)用戶查看到攻擊Lnk文件所在的文件夾，就會觸發(fā)漏洞，如LNK病毒感染了移動(dòng)存儲設(shè)備，或網(wǎng)絡(luò)共享文件夾時(shí)，存在漏洞的電腦只要瀏覽查看這個(gè)文件夾，就會中毒。因而有“看一眼就中毒”的“美譽(yù)”。此外，因部分企業(yè)管理員安全意識薄弱，在配置MS SQL服務(wù)器的sa賬號登錄時(shí)，使用強(qiáng)度較低的密碼，容易被不法黑客暴力破解。

面對愈發(fā)猖獗的“粗魯?shù)牡V工”木馬，騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松提醒政企機(jī)構(gòu)務(wù)必高度重視，并提出三大安全建議：首先，加強(qiáng)企業(yè)網(wǎng)絡(luò)安全保護(hù)，及時(shí)下載并更新Windows系統(tǒng)補(bǔ)丁以及修復(fù)各類安全漏洞；其次，企業(yè)服務(wù)器須使用高強(qiáng)度密碼，切勿使用弱口令，以防遭不法黑客暴力破解；此外推薦全網(wǎng)部署騰訊御點(diǎn)終端安全管理系統(tǒng)，終端殺毒和修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，可幫助企業(yè)管理者全面了解、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全。

（圖：騰訊御點(diǎn)終端安全管理系統(tǒng)）