“永恒之蓝”再起波澜?Linux版挖矿蠕虫来袭!
5月中旬,亚信安全率先截获了利用 “永恒之蓝”漏洞传播的windows版本挖矿蠕虫病毒。时隔不到一个月,Linux版本挖矿蠕虫来袭,该病毒利用与“永恒之蓝”具备相似传播性的SambaCry漏洞进行攻击,亚信安全病毒码已经可以检测该病毒,并将其命名为:
ELF64_ETERNALMINER.A
ELF64_GETSHELL.A
ELF64_COINMINER.B
SambaCry漏洞是Samba远程代码执行漏洞(CVE-2017-7494),该漏洞影响Samba4.6.4之前的版本、4.5.10之前的版本和4.4.14之前的版本,黑客可以利用该漏洞进行远程代码执行。亚信安全已经在5月25日已经发布了DeepSecurity入侵防御规则和TDA规则,有效拦截该漏洞。
SambaCry挖矿蠕虫攻击流程
利用Samba漏洞入侵主机;
攻击者通过上传恶意的链接库文件(亚信安全检测为ELF64_ETERNALMINER.A和ELF64_GETSHELL.A),实现远程代码执行;
攻击者在被感染机器上安装“升级版”挖矿软件CPUminer(亚信安全检测为ELF64_COINMINER.B),挖取虚拟货币“门罗币”。
从SambaCry漏洞披露之初我们就预计将会有黑客对其进行恶意利用,并从中获利。通过”永恒之蓝”攻击事件我们可以看到,当有通用且极易利用漏洞曝光时,漏洞利用已经变成一种常态,随之而来的就是攻击事件。攻击事件最终目的是为了获取利益,虚拟货币因其增值速度快,难以追踪受到黑客的青睐,同时也给黑客通过网络攻击获利提供了变现渠道。因此我们预计未来挖矿病毒将会崛起。
安全防护措施
Samba 4.6.4/4.5.10/4.4.14版本中修复了该漏洞,需要用户升级到上述版本或者安装补丁。
如果暂时不能升级版本或安装补丁,可以使用临时解决方案:在smb.conf的[global]板块中添加参数:nt pipe support= no,然后然后重启smbd服务。
亚信安全病毒码版本13.468.60已经包含该病毒的检测,请用户及时升级病毒码版本。
亚信安全已经在5月25日发布了DeepSecurity入侵防御规则,有效拦截该漏洞。规则如下:
1008420 - Samba Shared Library Remote CodeExecution Vulnerability (CVE-2017-7494)
亚信安全深度发现设备TDA已经更新规则检测该漏洞,规则如下:
2417-CVE-2017-7494-SMB_REMOTE_CODE_EXECUTION_EXPLOIT