szhbsd 腾讯安全威胁情报中心意识到,ThanatosMiner(也称为死亡矿工)正在考虑BlueKeep的漏洞CVE-2019-0708来传播攻击。攻击者打包了BlueKeep漏洞利用代码的公共Python版本,以生成scan.exe。生成此地址后,他们扫描了大量随机生成的IP地址以进行检测和攻击。
BlueKeep漏洞(CVE-2019-0708)随Microsoft于2019年5月15日一起发布。此安全更新修补程序由于其高度漏洞而受到所有安全厂商的高度评价。攻击者一旦激发了此漏洞,便可以成功执行任意代码,而无需任何用户交互。这意味着目标仅需要连接到网络。该矿业木马可以访问受影响的计算机矿Cryptocurrency。
但是,此漏洞影响了较旧版本的Windows。它们包括Windows7,WindowsServer2008R2,Windows2003和WindowsXP,Windows8,Windows10和更高版本不受影响
1.关于ThanatosMiner的头
腾讯的安全团队将全力协助拦截和杀死ThanatosMiner木马。腾讯安全团队的官员强烈建议用户及时修补BlueKeep漏洞。
否则,攻击者在使用特洛伊木马扫描代码后,可能会受到计算机完全控制的潜在威胁。成功利用漏洞后,他们只需要执行一个shellcode,这将使他们能够下载用C#编写的Trojansvchost.exe。完成此操作后,他们将继续进行下一步,下载Monero采矿木马并攻击该模块。
2.各种解决方案
安全产品可以通过提供的界面来提高威胁识别能力。此外,与BlueKeep关联的IOC支持标识检测。腾讯宇智可以监控网络是否受到远程执行代码漏洞的影响。腾讯皇家点提供了一种针对此类漏洞的有效防火墙系统。
由于有效负载程序的名称是ThanatosCrypt,因此该采矿木马已命名为ThanatosMiner(死亡矿工)。
