6月5日,瑞星安全研究院率先截获了知名挖矿病毒DTLMiner的最新变种,该变种此次针对Linux操作系统,经过瑞星安全专家的测试发现,该病毒几乎可感染所有基于Linux内核的系统,其中的挖矿模块目前可在基于x86-64架构的国产操作系统中运行。瑞星提醒广大企业用户,随着技术的不断迭代,跨平台的病毒将越来越多,用户一定要抛弃Linux系统没有病毒的传统思维,做好安全防护。目前,瑞星ESM防病毒系统的Windows版、信创版及涉密版均已进行升级,可对该病毒进行有效拦截和查杀。
图:国产操作系统感染最新DTLMiner变种
图:瑞星ESM成功查杀DTLMiner最新变种
瑞星安全专家介绍,DTLMiner是近年来极其活跃的一个挖矿病毒,病毒作者不断更新病毒传播手段并快速应用新技术,几乎每周都对其进行更新。病毒一旦成功入侵就会在中毒设备上进行挖矿,从而导致计算机资源被非法占用,无法正常工作。截至目前,DTLMiner挖矿木马使用的传播方式有:“永恒之蓝”漏洞、U盘传播(利用“震网三代”【CVE-2017-8464】漏洞)、SMB共享(域账户弱口令)、MSSQL弱口令、RDP弱口令、SSH弱口令、SSH公钥登录、Redis未授权访问以及钓鱼邮件,在执行过程中还会抓取系统内密码来扩充自己的弱密码库,提高利用弱口令入侵的成功率。
防御建议:
1、安装永恒之蓝漏洞补丁、"震网三代”(CVE-2017-8464)漏洞补丁、BlueKeep(CVE-2019-0708)漏洞补丁以及SMBGhost(CVE-2020-0796)漏洞补丁,防止病毒通过漏洞植入;
2、及时跟进打好Office套件相关补丁;
3、系统和数据库不要使用弱口令账号密码;
4、修改Redis的默认端口并为Redis配置密码验证,禁用Redis内的高危命令;
5、多台机器不要使用相同密码,病毒会抓取本机密码,攻击局域网中的其它机器;
6、安装杀毒软件,保持防护开启。对于来历不明、内容敏感以及引导关闭杀毒软件和Office宏安全特性的文档保持高度警惕。