【安全预警】关于某挖矿木马的通告
近期,较多用户内网计算机系统遭遇挖矿木马,由于木马传播方式较多,且在原有版本上不断更迭,因此内部计算机系统感染较多,对正常办公及业务运行产生了严重影响,基于此情况,盛邦安全建议各单位对单位内网进行安全自查工作,以下是木马相关信息,如有需要,可及时联系盛邦安全安全服务人员。
事件现象:
1、电脑运行缓慢、CPU占用率过高、存在可疑进程;
2、对外发送大量SMB爆破及MSSQL爆破数据包;
3、计划任务中有随机名计划任务;
4、Windows目录下出现随机文件名应用程序;
事件特性:
1、抓取本地计算机密码猜测登陆其他机器;
2、利用永恒之蓝漏洞传播;
3、利用SMB弱口令传播;
4、利用MS SQL数据库弱口令传播;
5、感染后添加计划任务定时执行、注册服务、添加启动项;
6、开启特定端口,标记主机已经被感染;
修复建议:
1、使用杀毒软件对全盘进行病毒查杀工作;
2、检查是否新增了恶意账号,若存在及时删除;
3、删除非正常windows的计划任务程序、已注册的服务、注册表启动项等;
4、安装MS17-010安全漏洞补丁;
5、删除防火墙Dnsd入站规则
6、打开计算机防火墙,封禁135、139、445等端口;
7、修改计算机登录密码、MSSQL口令密码;
8、重启计算机;
9、重启后检查计算机CPU使用率、内存使用率、注册表、启动项、服务项、防火墙规则、本地用户等是否还存在异常,若存在,建议及时联系盛邦安全安全服务部人员;
内网排查建议:
1、使用端口扫描工具扫描内网主机32、33、65531、65533端口,检查开放此些端口主机;
2、流量分析设备上分析内部主机对病毒连接域名或IP的请求;
附件一、病毒请求的域名
*.abbny.com
*.beahh.com
附件二、病毒连接的IP
128.199.64.236
27.102.107.137
27.102.118.147
27.102.130.126
153.92.4.49