国内挖矿病毒大规模爆发 瑞星提供整体解决方案

  随着虚拟货币的疯狂炒作，挖矿病毒慢慢的变成了不法分子利用最为频繁的攻击方式之一。虽然虚拟货币近期行情出现了很大的波动，但是不法分子对其的追逐却没有丝毫下降。瑞星威胁情报检测系统检测到近年来大量挖矿病毒在互联网进行传播。

  从2017年5月份开始，一个利用NSA泄露的永恒之蓝攻击工具的挖矿病毒大规模爆发，瑞星安全分析人员发现病毒作者一直在持续更新对抗查杀，分别在2017年7月、 11月、12月，2018年3月进行了更新。2018年5月病毒作者又对病毒进行了修改，通过内网传播和外网下载，僵尸网络不断扩大。

  2018年3月，湖北某医院内网遭到挖矿病毒疯狂攻击，导致该医院大量的自助挂号、缴费、报告查询打印等设备无法正常工作，由于这些终端为自助设备，只提供特定的功能，安全性没有正真获得重视，系统中没安装防病毒产品，系统补丁没有及时来更新，同时该医院中各个科室的网段没有很好的隔离，导致了挖矿病毒集中爆发。

  2018年5月，青海某能源企业内网遭到挖矿病毒疯狂攻击，该企业内网环境中的设备主要分成两部分，一部分是真实的物理设备，另一部分是虚拟出来的云终端。真实物理设备与云终端设备因为没有及时安装漏洞补丁，导致病毒在整个网络中爆发，严重影响用户正常工作。

  2018年5月，北京某能源企业内网遭到挖矿病毒疯狂攻击，该企业计算机设备类型众多，且操作系统版本也各不相同。企业总部虽然无法访问外网，但是分公司内外网混用，不进行隔离，导致分公司中毒后病毒迅速传播到公司总部的网络中，公司总部病毒集中爆发，一些没安装杀软的机器被植入病毒，又继续攻击其它机器。

  1、企业内网安全防御极度不完善。有些用户总部和分公司都在同一网络中，并没有做隔离。总部网络安全防范等级较高，不允许访问外网。但是分公司内外网混用，间接导致了总部也和外界连通了，这样即使总部网络防御再高，也会存在很大安全风险。

  2、基层安全防范意识不足。总公司部署了比较完善的安全产品，但是分公司没安装补丁，没有及时升级病毒库，甚至没安装杀毒软件，导致整个网络安全等级下降。

  3、为了稳定性牺牲安全性。在某些企事业内部业务系统的稳定性压倒一切，为减少对业务的影响而降低防范措施经常可见，很多用户系统长期不安装补丁，不更新重要的服务器软件、数据库软件等，让这些存在着漏洞的设备长期暴露在网络中。为了业务稳定而降低防范措施虽然在某些特定的程度上看似节约了时间，但是一旦漏洞被利用，遭到黑客攻击，业务反而会受到更大的影响，损失更大，得不偿失。

  （3）在不影响业务的前提下，将危险性较高的，容易被漏洞利用的端口修改为其它端口号，如139 、445端口。如果不使用，可直接关闭高危端口，降低被漏洞攻击的风险

  对于规模较大、设备类型众多、维护工作繁重的组织，推荐使用瑞星下一代网络版杀毒软件统一查杀，统一打补丁。

  瑞星ESM（瑞星下一代网络版杀毒软件）集病毒防护、网络防护、桌面管理、终端准入、舆情监控于一体，全网络环境适用，能轻松实现物理机、虚拟机、Windows、Linux一体化管理，为企业用户更好的提供了一整套终端安全解决方案。

  多种防护模式自由设定，ATM机、银行自助终端机、地铁闸机、售检票系统、医院挂号机等终端设备按需设置。

  对全网终端漏洞进行扫描，自由设定修复策略，终端可同时设定多个补丁中心、多个补丁服务器支持树形级联。

  瑞星防毒墙是集病毒扫描、入侵检测和网络监视功能于一身的网络安全产品。它可在网关处对病毒进行初次拦截，配合瑞星病毒库上亿条记录，可将绝大多数病毒彻底剿灭在企业网络之外，帮企业将病毒威胁降至最低。

  瑞星虚拟化系统安全软件是瑞星公司推出的国内首家企业级云安全防护解决方案，支持对虚拟化环境与非虚拟化环境的统一管控，包括VMware vSphere、VMware NSX、HUAWEI FusionSphere、浪潮InCloud Sphere、Windows系统与Linux系统等，可以轻松又有效保障企业内部虚拟系统和实体网络环境不受病毒侵扰。

  瑞星虚拟化系统安全软件的完整防护体系由管理中心、升级中心、日志中心、扫描服务器、安全虚拟设备、安全终端Linux杀毒和安全防护终端等子系统组成，各个子系统均包括若干不同的模块，除承担各自的任务外，还与其它子系统通讯，协同工作，共同完成企业内部的安全防护。

  瑞星经过控制服务器，关联到了5月份最新版本病毒原始的exe，并且关联到了去年11月份版本的原始exe 。此前捕获到的版本都是以x86/64.dll为起始的，此exe和x86 /x64.dll 功能基本相同，能确定是最开始的攻击样本，攻击者有很大的可能是 通过弱口令、系统漏洞、web服务漏洞、钓鱼等其它方式，使一台可以访问外网的机器运行此exe，中毒后从资源中释放出其它模块，使用永恒之蓝漏洞攻击局域网中的其它机器，之后将x86/64.dll 注入到被攻击机器系统进程，被攻击机器也变成了攻击机，攻击其它机器，开始下一轮的循环。

  病毒运行后创建互斥体，如果互斥体存在则退出。捕获到的 a32 、b32、 c32 、a64、 b64、 c64与捕获到的6个exe的互斥体相同。

  线 和线类似，也是结束任务管理器，运行挖矿程序，挖矿程序名称为Smsservices，但是此版本并不会释放。可能会随着资源文件EnrollCertXaml.dll的变化，而变为这个程序。

  释放并调用方程式的工具攻击，其中x86.dll x64.dll分别是32位和64位系统下，利用漏洞植入到被攻击机器系统进程中的有效载荷。DLL的功能和最开始的exe 基本相同。