“紫狐”挖礦僵尸網絡利用新漏洞發起攻擊 360安全衛士第一時間支持防御
6月30日,有安全人員發布一個Windows打印機遠程代碼執行漏洞概念驗證,并將該漏洞命名為“PrintNightmare”。據悉,此漏洞可允許低權限用戶對本地網絡中的電腦發起攻擊,從而控制存在漏洞的電腦,而域環境中的普通用戶能夠利用該漏洞對域控服務器發起攻擊,控制整個域。
7月3日,微軟發布公告稱“PrintNightmare”漏洞可影響幾乎所有主流Windows版本,具體漏洞編號為CVE-2021-34527。而360安全大腦僅在公告發布一天后,就監測到“紫狐”挖礦僵尸網絡正利用“PrintNightmare”漏洞發起攻擊。
據悉,“紫狐”僵尸網絡是一個規模龐大的挖礦僵尸網絡,慣常使用網頁掛馬、MsSQL數據庫弱口令爆破等方式入侵機器,入侵成功后會嘗試在局域網橫向移動,并在機器中植入挖礦木馬進行獲利。
經360高級威脅研究分析中心研判分析發現,“紫狐”僵尸網絡利用“PrintNightmare”漏洞入侵域內機器后,將文件名為“AwNKBOdTxFBP.dll”的惡意dll注入打印機進程spoolsv.exe中,惡意dll會將惡意注入rundll32.exe,啟動PowerShell下載并執行僵尸程序。攻擊流程和惡意PowerShell代碼如下圖所示。
執行的PowerShell代碼,解碼后內容如下:
待僵尸程序下載并執行后,受害機器就會徹底淪為“紫狐“僵尸網絡的一個節點,并且還會在挖礦的同時對網絡中的其他機器發起攻擊。
就在漏洞曝光后不久,360安全大腦漏洞防護在第一時間支持了該漏洞的攻擊攔截,并且在360安全衛士、 Win7 盾甲等產品里添加了針對該漏洞的微補丁免疫,可使系統在未安裝補丁或無法連接互聯網時,也能有效防御該類型的攻擊。
就在今天凌晨,微軟緊急推出了 “PrintNightmare”的修復補丁,并且對已經停止支持的Windows 7系統也發布了相應補丁,可見這個漏洞影響之嚴重,360安全大腦建議用戶,盡快進行更新,預防該漏洞攻擊。
如果企業管理員想排查企業內網是否受到此次木馬攻擊,則可通過IOCS來排查。
IOCS:
45c3f24d74a68b199c63c874f9d7cc9f
bc625f030c80f6119e61e486a584c934
hxxp://6kf[.]me/dl.php
除上述建議外,360安全大腦團隊還針對用戶安全,給出如下安全建議:
- 用戶在下載安裝軟件時,可優先通過軟件官網、360軟件管家查找安裝,以此來避免在不正規下載站下載后導致的惡意捆綁和故障;
- 提高安全意識,不隨意打開陌生人發來的各種文件,如需打開務必驗證文件后綴是否與文件名符合;
- 對于來路不明的電子郵件,提高警惕,不要輕易點擊打開其中包含的任何鏈接、附件;
- 可疑文檔勿啟用宏代碼,如打開過程發現任何警告信息,及時阻止,不要點擊忽略或允許。
作為累計服務13億用戶的PC安全產品,360安全衛士上線十五年來一直致力于為用戶提供全方位的安全守護。目前,360安全衛士形成了集合木馬查殺、漏洞修復、隱私保護、勒索解密等多重功能于一體的安全解決方案。未來,360安全衛士將繼續深耕安全技術,為用戶提供更加及時、更具針對性的安全守護。
