6月5日,瑞星安全研究院率先截獲了知名挖礦病毒DTLMiner的最新變種,該變種此次針對Linux操作系統(tǒng),經(jīng)過瑞星安全專家的測試發(fā)現(xiàn),該病毒幾乎可感染所有基于Linux內(nèi)核的系統(tǒng),其中的挖礦模塊目前可在基于x86-64架構(gòu)的國產(chǎn)操作系統(tǒng)中運行。瑞星提醒廣大企業(yè)用戶,隨著技術(shù)的不斷迭代,跨平臺的病毒將越來越多,用戶一定要拋棄Linux系統(tǒng)沒有病毒的傳統(tǒng)思維,做好安全防護。目前,瑞星ESM防病毒系統(tǒng)的Windows版、信創(chuàng)版及涉密版均已進行升級,可對該病毒進行有效攔截和查殺。

圖:國產(chǎn)操作系統(tǒng)感染最新DTLMiner變種

圖:瑞星ESM成功查殺DTLMiner最新變種

瑞星安全專家介紹,DTLMiner是近年來極其活躍的一個挖礦病毒,病毒作者不斷更新病毒傳播手段并快速應用新技術(shù),幾乎每周都對其進行更新。病毒一旦成功入侵就會在中毒設(shè)備上進行挖礦,從而導致計算機資源被非法占用,無法正常工作。截至目前,DTLMiner挖礦木馬使用的傳播方式有:“永恒之藍”漏洞、U盤傳播(利用“震網(wǎng)三代”【CVE-2017-8464】漏洞)、SMB共享(域賬戶弱口令)、MSSQL弱口令、RDP弱口令、SSH弱口令、SSH公鑰登錄、Redis未授權(quán)訪問以及釣魚郵件,在執(zhí)行過程中還會抓取系統(tǒng)內(nèi)密碼來擴充自己的弱密碼庫,提高利用弱口令入侵的成功率。

防御建議:

1、安裝永恒之藍漏洞補丁、"震網(wǎng)三代”(CVE-2017-8464)漏洞補丁、BlueKeep(CVE-2019-0708)漏洞補丁以及SMBGhost(CVE-2020-0796)漏洞補丁,防止病毒通過漏洞植入;

2、及時跟進打好Office套件相關(guān)補丁;

3、系統(tǒng)和數(shù)據(jù)庫不要使用弱口令賬號密碼;

4、修改Redis的默認端口并為Redis配置密碼驗證,禁用Redis內(nèi)的高危命令;

5、多臺機器不要使用相同密碼,病毒會抓取本機密碼,攻擊局域網(wǎng)中的其它機器;

6、安裝殺毒軟件,保持防護開啟。對于來歷不明、內(nèi)容敏感以及引導關(guān)閉殺毒軟件和Office宏安全特性的文檔保持高度警惕。