203期报告汇总
安天发布《六小时处置挖矿蠕虫的内网大规模感染事件》报告
2019 年 5 月,安天接到某重要单位 的求助,其内网中执行任务的上百台主机 频繁出现死机、重启、蓝屏等现象。安天 应急服务小组迅速抵达用户现场进行快速 处置。经前后台协同联动判定,这是一 起 WannaMine 挖 矿 蠕 虫 通 过 EternalBlue (“永恒之蓝”)漏洞在内网中进行横向 移动并反复传播感染内网主机的事件。永 恒之蓝漏洞对应补丁为 MS17-010,如果 主机没有安装相应补丁或关闭相关端口, 则无法阻挡该病毒在内网中的渗透传播。 WannaMine 最早出现于 2017 年底,它会最 大限度的利用 CPU 来挖掘门罗币。
安天 CERT 提示,通过安天智甲终端防御系统可以实现内网端点系统统一补 丁升级、安全加固策略配置和病毒统一查 杀。在没有安天智甲部署的情况下,遇到 蠕虫反复感染对应问题的用户建议采取以 下缓解措施:对局域网内的所有主机采取 断网操作;根据病毒所使用的漏洞和受感 染终端的操作系统版本信息,安装对应的 安全补丁;在不影响用户业务的前提下关 闭 445 端口,通过杀毒工具进行查杀;逐 步恢复网络并通过抓包工具确认网内是否 存在恶意流量,并对全网终端安全状态进 行确认。
安天 CERT 提醒广大政企客户,应提 高网络安全意识,在日常工作中及时进行系统更新和漏洞修复,不随意下载非正版 的应用软件,注册机等。收发邮件时应确 认收发来源是否可靠,不随意点击或者复 制邮件中的网址,不轻易下载来源不明的 附件,发现网络异常要提高警惕并及时采 取应对措施,养成及时更新操作系统和软 件应用的良好习惯。确保所有的计算机在 使用远程桌面服务时避免使用弱口令,如 果业务上无需使用远程桌面服务,建议将 其关闭。
目前,安天追影产品已经实现了对 Wannamine 挖矿蠕虫的鉴定;安天智甲已 经实现了对 Wannamine 挖矿蠕虫的查杀。
