昨天下午火绒安全和腾讯安全监测到某个未知病毒突然爆发,此病毒仅仅在两小时内即感染高达十万台电脑,能以如此迅速的速度进行感染和传播主要有两点:驱动人生装机量非常大、利用永恒之蓝漏洞内网批量感染,火绒安全团队在分析后发现驱动人生利用升级模块安装病毒,随后蠕虫病毒开始通过内外网大规模感染电脑。
腾讯安全团队在分析后发现此病毒感染后会加载云端控制模块,攻击者可以下发命令加载其他病毒进行攻击,2018.12.15 05:03更新:驱动人生在官方微博上发布声明解释原因,点击这里查看驱动人生官方发布的声明。
驱动人生/人生日历/USB宝盒主动加载推送病毒:
火绒安全团队监测到异常后便迅速开始分析和拦截,分析发现驱动人生的升级推送功能主动下载病毒并执行,病毒被下载到本地执行后会继续释放病毒模块,新病毒模块利用永恒之蓝漏洞对局域网内所有电脑展开攻击,同时病毒还会随机向外网的IP段进行检测和分析,如果那些IP段的电脑没有修复永恒之蓝漏洞那么也被感染。
每台被感染的电脑都成为节点继续向外展开攻击,腾讯安全监测数据显示仅两小时内就有十万台电脑被感染,除驱动人生外该公司旗下产品包括人生日历和USB宝盒等行为相同,均通过主动升级模块远程加载蠕虫病毒。
疑似黑产团伙进行小规模测试:
黑产团伙的远程服务器在开放十小时左右就被关闭,但在这十小时内被感染的电脑总数应该远远超过十万台,昨日晚间黑产团伙将远程服务器主动关闭蠕虫病毒传播得以终止,在此期间黑产团伙没有下发任何攻击命令,虽然感染超过十万台电脑但黑产团伙并没有进行获利,蠕虫病毒除疯狂传播外也只收集电脑信息无其他行为。
从上述行为来看黑产团伙有可能只是在进行小范围的测试,但应该没有想到能够在极短时间内感染大量电脑,主动关闭服务器还有可能是传播范围太大可能超出黑产团伙的预想,黑产团伙担心事情闹大因此主动关闭的。
被感染的企业你们可长点心吧:
事实上这次被感染的电脑绝大多数都是企业内网电脑,因为只有内网电脑才能被永恒之蓝蠕虫大规模的感染,个人和家庭电脑运营商已经屏蔽相关端口因此不太方便利用永恒之蓝,但企业内网对蠕虫来说可是畅通无阻,微软也早已发布补丁修复永恒之蓝漏洞,奈何至今仍然有大量电脑尤其是部分企业内网的电脑还没有打补丁。
WannaCry 勒索病毒就是永恒之蓝传播的,台积电也因为没有修复永恒之蓝漏洞被感染导致损失 17 亿之多,但即便如此还是没能引起很多企业的关注,非得被攻击被感染造成巨大损失后才知道趁早修复漏洞有多重要。
相关文章
网友评论(共有 0 条评论)