黑客借助EternalBlue漏洞利用NRSMiner加密挖掘恶意软件在亚洲继续作恶

据来自IBM Security Intelligence消息，安全研究人员称，最新版本的NRSMiner加密挖掘恶意软件正在利用未修补EternalBlue漏洞，为漏洞未修复的公司带来麻烦。

曾经，EternalBlue利用漏洞（CVE-2017-0144）服务器消息块（SMB）1.0漏洞触发远程代码执行并传播WannaCry勒索软件。现在，安全研究公司F-Secure报告说威胁行为者正在使用这种漏洞利用NRSMiner来感染亚洲未修补的设备。大约54％攻击都发生在越南，同时也波及到日本、中国及中国台湾地区在内的几个国家和地区。

根据F-Secure的说法，NRSMiner的最新版本能够利用已有的感染来更新主机和内联网系统上的代码，从而将感染传播到尚未使用Microsoft安全更新MS17-010修补的计算机。

除了加密挖掘活动之外，最新版本的NRSMiner还能够下载自己的新版本并删除旧文件和服务以覆盖其入侵轨迹。使用WUDHostUpgrade[xx] .exe模块，NRSMiner会主动搜索潜在的感染目标。如果它检测到当前的NRSMiner版本，WUDHostUpgrade将自行删除。如果找到潜在主机，则恶意软件会删除多个系统文件，提取NRSMiner的版本，然后安装名为snmpstorsrv的服务。

虽然这种加密挖掘恶意软件目前仅限于亚洲，其最近的上涨势头，为全球企业提出了警告，很多企业仍未修补其EternalBlue漏洞。尽管WannaCry感染看似已经大量消失，但EternalBlue漏洞/ DoublePulsar组合后门仍然被视为部署高级持续性威胁（APT）的极为有效的方式。

避免NRSMiner从安全修补开始：企业必须确保其系统进行了MS17-010更新。当然，如果预先存在的恶意软件感染，那是无法避免这种攻击了，但可以确保不会发生新的EternalBlue攻击。诚如安全专家所指出的，主动和持续网络监控的组合可以帮助企业识别系统中已经出现的新兴威胁和感染。组织应不断全面开发的安全框架，包括使用双因素身份验证（2FA）、身份和访问管理（IAM）、Web应用程序防火墙和安全可靠的补丁管理等。

EternalBlue继续利用存在的已知漏洞，攻击未及时修补的系统。企业应当通过实施改进的监控策略和开发高级安全框架，避免NRSMiner和其他加密挖掘恶意软件威胁。

往期回顾