纯情博客为您提供最新网络安全黑客信息资讯

  去年7月,腾讯安全御见威胁情报中心首次检测到木马,利用的高危漏洞侵入企业服务器进行挖矿;11月黑客纯情,再次看到更新到6.0版本的挖矿木马变种,专门对于企业SQL服务器的1433端口爆破防御进行蠕虫式传播。

  近期,木马的踪迹再次被腾讯安全御见威胁情报中心检测捕捉,此次的样本依然专门对于企业1433端口,控制企业机器后进一步植入挖矿木马进行挖矿获利。目前,腾讯安全团队借助溯源分析已锁定发起该木马攻击活动的被曝团伙和控制者。

  通过与之前的功击活动进行对比评析,腾讯安全学者强调,在这次的挂马攻击中不法黑客使用的爆破工具加密方法与7月末发现的挂马样本保持一致。解密后样本以组件名“koi”加载执行,在云端配置文件的储存方法、加密形式均与7月攻击事故中的相似,都辅以web页面保存黑客博客,并借助改造后的算法进行加密。

  在顺利入侵机器后,攻击者会首先植入远程控制木马。据认识,这是著名远控木马Gh0st的更改版本,安装运行后与控制端搭建联系,导致服务器被不法黑客完全控制,受害者机器的鼠标记录等一系列用途就会被防御者执掌,之后再进一步植入挖矿木马,通过挖取门罗币亏损。

   黑客抓肉鸡

黑客抓肉鸡

  (图:细菌作者在黑客论坛传播挖矿木马生成器)

   黑客抓肉鸡

黑客抓肉鸡

  腾讯安全御见威胁情报中心通过追溯此次不法黑客攻击使用的SQL爆破工具的解压路径“1433腾龙3.0”黑客抓肉鸡,发现了一个与防御事件相关联的黑客技术论坛——腾龙技术峰会,并经过信息对比,确认了其中某位活跃组员与C2地址的某个可疑域名登录者为同三人。从现有的线索来看黑客抓肉鸡,该组员在该黑客论坛下载的挖矿木马生成器生成了这次传播的挖矿木马执行文件。由此可以猜测,“”系列防御事件应当是该科技峰会资深组员或队伍所为,不法黑客运用所学到的近程防御科技攻击并控制被害用户机器成为养鸡培训脚本,植入挖矿木马牟利。这种使用违法方式侵入企业网路、并借助别人计算机平台挖矿的行为已违犯国家法律。

   黑客抓肉鸡

黑客抓肉鸡

  (图:腾讯御点终端安全管控系统顺利拦截该木马病毒)

  对此,腾讯安全学者提醒企业顾客,应提升警觉,应尽早加固SQL服务器,修补服务器安全漏洞;引入安全的密钥策略,避免使用弱口令,特别是sa帐户密码,防止不法黑客暴力破解。针对挖矿木马的特点,企业顾客可在原始配置基础上修改默认1433端口设置,并设定访问规则、拒绝1433端口探测。推荐客户使用腾讯御知网络空间风险雷达进行风险扫描和安全监视,并布署腾讯御点终端安全管控系统应对恶意伤害。企业网站管理员可使用腾讯云网页管家智能防护平台,目前该系统已具有Web入侵防护,0Day漏洞补丁修补等多纬度防御策略,可全面保护网站平台安全。