蠕虫病毒bulehero再次利用“永恒之蓝”在企业内网攻击传播
2018-08-16 11:54:27   来源：中华网   评论：0 点击：

安全技术专家分析发现，该木马病毒与近期流行的“WannaCry”勒索病毒采用了类似的传播方式。其采用与系统正常进程名Svchost.exe执行文件相仿的scvsots.exe的下载器，通过释放网络扫描工具，在局域网内探测可以攻击传播的IP地址段，关闭Windows防火墙的同时，利用“永恒之蓝”漏洞攻击包，及多个服务器组件相关漏洞在局域网内攻击传播，最终创建开机启动项，实现开机自行运行，达到横向攻击局域网内所有电脑的目的。

（图：蠕虫病毒bulehero攻击流程图）

一旦入侵成功，蠕虫病毒就会从远程服务器下载病毒代码，进而横向传播给局域网内其他电脑。同时，该病毒还会在被感染电脑中留下后门病毒，为后续的恶意攻击做足准备，给用户带来了极大的安全隐患。另外，腾讯智慧安全御见威胁情报中心监测数据显示，重庆、广西以及江苏等省市成为感染该病毒的集中地。

与以往木马病毒相比，此次蠕虫病毒bulehero在传播方式大费心思，利用各种攻击方式组成“广撒网”的攻击策略。不法黑客通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起网络攻击，利用攻击工具WinStr045检测网络上存在的Struts 2漏洞执行各类指令，同时使用Weblogic反序列化漏洞攻击企业服务器，以及通过密码字典进行猜解爆破登录Mssql 1433端口弱口令进行溢出攻击，最终实现本地提权、创建账户、系统信息搜集等目的。

可以看出，木马病毒不断变换的作案手法令用户越来越难以察觉。同时结合近期频发的网络安全事件来看，不法黑客正在寻找更为隐蔽且高效的传播方式，以实现自己的非法获利企图。

（图：企业级安全防护产品腾讯御点）

因此，加强互联网安全意识就显得尤为重要。一方面，个人用户务必提高网络安全防范意识，养成良好的上网习惯，安装并保持腾讯电脑管家等安全软件实时开启状态；另一方面，企业应设立相关的安全监管部门，制定相关对应措施，同时优先使用终端杀毒软件，增强防御方案的完整性和立体性，在遭受攻击时能更高效地解决问题，把企业损失降到最低。