二月最新安全輿情：加密貨幣暴漲催活挖礦木馬

05-23

來自專欄騰訊安全聯合實驗室

導語：春節過後，網路安全事件依舊此起彼伏。根據騰訊反病毒實驗室統計，二月熱議話題分別是漏洞、有害樣本、勒索敲詐、攻擊事件、釣魚事件。其中垃圾郵件、釣魚事件、敲詐勒索、IoT安全較上月分別有不同程度的增幅，不過沒有出現重大的安全事件，整體安全話題有些許下降。下圖為二月資訊分布情況。

以下將就漏洞安全、木馬樣本、攻擊事件、挖礦事件、垃圾郵件、數據泄露六個維度重點分析本月熱點安全事件。

一、漏洞安全

被爆出的漏洞每月都有，同樣被黑客利用的漏洞也一直在持續，關注高危漏洞和常用應用漏洞，及時做好軟體更新和安全檢測軟體更新是應對漏洞最好的方式。本月熱門漏洞事件有如下三例，Adobe Acrobat Reader DC Document ID遠程代碼執行漏洞CVE-2018-4901、PayPal漏洞以及Meltdown 與Specter CPU漏洞相關樣本。

1、Adobe Acrobat Reader DC Document ID 遠程代碼執行漏洞披露（CVE-2018-4901）

在Adobe Acrobat Reader DC 2018.009.20044中打開特製PDF文檔時，嵌入在PDF文件中的特定Javascript腳本可能導致文檔ID欄位在無界限複製操作中使用，從而導致基於堆棧的緩衝區溢出。這種堆棧溢出會導致返回地址覆蓋，這可能會導致任意代碼執行。為了觸發此漏洞，受害者需要打開惡意文件或訪問惡意網頁。

2、PayPal漏洞，可獲取賬戶餘額和近期交易數據

攻擊者知道目標帳戶的電子郵件地址和電話號碼後，可以使用PayPal的忘記密碼頁面來檢索與該帳戶關聯的支付方法的最後兩位數。然後通過撥打PayPal的電話客戶支持和與交互語音應答系統的交互，準確地列舉出最後四個數字——或者說是最後四位數字的前兩個數字。一旦成功地列出了與該賬戶相關聯的信用卡/借記卡或銀行賬戶的最後四位數字，他們就可以隨意查詢經常賬戶餘額和最近的交易信息。

3、利用 Meltdown 與 Specter 漏洞的惡意軟體已出現

Meltdown與Specter漏洞已經披露數周了，最近就某安全公司的研究人員的統計來看，至少有139個惡意軟體利用了這些CPU漏洞，可能使攻擊者繞過內存隔離機制並訪問內存內容，例如密碼、加密密鑰和其他私密信息等敏感數據。建議廣大用戶及時更新操作系統、WEB瀏覽器、防病毒軟體和其他軟體。

二、木馬樣本

木馬一直持活躍狀態，每月都會有新木馬和新變種的出現，及時更新安裝的殺毒軟體已應對各新增變種，以下介紹二月份比較新穎的新型木馬的相關資訊：符號鏈接文件.SLK木馬和利用剪貼板竊取比特幣的Evrial木馬。

1、木馬利用符號鏈接文件(.SLK)偽裝成正常文檔進行傳播

對於大多數用戶而言，.SLK文件在Microsoft Office軟體中被識別為Excel文件。它也被各種硬體和移動平台中的其他應用所認可。文件作用旨在將電子表格和資料庫之間的數據鏈接起來。與Excel .XLS / .XLSX文件類似，這些.SLK文件也支持執行惡意命令的功能。

2、木馬Evrial使用剪貼板竊取比特幣

木馬CryptoShuffle是一個能夠讀取剪貼板並修改在剪貼板里找到的加密貨幣地址的惡意軟體，後來被人利用，包裝提供一些其他業務。該服務平台稱為Evrial，該產品由.NET惡意軟體樣本組成，能夠從瀏覽器、FTP客戶端、Pidgin竊取密碼，並且可以動態修改剪貼板，以便將任何複製的加密貨幣地址更改為任何想要的地址。

三、攻擊事件

二月熱門攻擊事件有以下三例，其中兩起是勒索軟體發起的攻擊，分別針對了Ontario的兒童救助組織和薩克拉門托的投票記錄資料庫，這些攻擊將導致敏感數據的丟失或泄露，造成巨額經濟損失和信息的不安全。另外二月正值大型活動冬奧會的開辦期，許多惡意組織盯上該活動，試圖攻擊奧運基礎設施或系統，以竊取信息或造成破壞。

1、勒索軟體襲擊了Ontario的兒童救助組織

近期發現勒索軟體攻擊了兩個Ontario兒童救助組織，該些組織擁有價值1.23億美元的兒童護理數據，其中一家代理機構——牛津縣兒童救助協會發現攻擊本地伺服器後，支付了5000美元贖金來贖回敏感數據。

2、薩克拉門托投票記錄資料庫被勒索軟體襲擊

近期薩克拉門托投票記錄資料庫被勒索軟體襲擊，包含了1950萬個加州選民的53000條歷史選民記錄。目前接受到的消息是，該託管機構拒絕支付比特幣贖金。選民記錄里包含了姓名、出生日期、電話號碼和政治派別。這些信息將會受到泄露。

3、多個組織攻擊平昌冬奧會基礎設施

二月正值冬奧運會期間，許多惡意組織、惡意木馬試圖攻擊奧運會基礎設施或系統，竊取系統數據或其他敏感數據。目前發現的惡意軟體有Gold Dragon,Brave Prince,Ghost419和Running Rat等。目前黑產盛行，各大活動主辦方需注意網路安全，謹防被黑客攻擊，導致數據泄露或其他安全事件。

四、挖礦事件

隨著加密貨幣的流行，黑產利用挖礦來獲取暴利也是今年的趨勢，黑產通過各種漏洞來獲取訪問控制權，執行挖礦代碼，並且都想方設法的感染更多的機器，來謀求最大限度的利益。二月典型事件有如下三個：利用Apache CouchDB進行門羅幣挖礦、Smominru加密貨幣殭屍網路影響百萬機器和眾多美國英國政府機構網站被植入挖礦腳本。

1、大量門羅幣礦工利用 Apache CouchDB 的漏洞進行惡意挖礦

Apache CpuchDB是一個開放源碼資料庫管理系統，皆在將可擴展的體系結構與易於使用的界面結合，該系統存在兩個漏洞，Apache CouchDB JSON遠程特權提升漏洞（CVE-2017-12635）和Apache CouchDB _config命令執行（CVE-2017-12636）。由於CouchDB的解析器存在差異，利用這些漏洞可以為攻擊者提供重複密鑰，從而允許他們在系統中訪問控制許可權，包括管理許可權，還可以使用這些函數來執行任意代碼。最近發現大量門羅幣礦工利用這些漏洞進行惡意挖礦。

2、大規模 Smominru 加密貨幣殭屍網路影響到百萬機器

Smominru殭屍網路由遍布俄羅斯、印度和台灣的526000台受感染的基於Windows的伺服器組成，該殭屍網路大約是Proofpoint 5月份確定的加密貨幣殭屍網路Adylkuzz的兩倍，與Adylkuzz一樣，Smominru也使用相同的NSA漏洞EternalBlue作為攻擊工具來感染計算機，並將它們作為挖掘Monero加密貨幣的殭屍網路的一部分。被感染的伺服器性能會有所下降。

3、眾多美國和英國政府機構網站被植入挖礦腳本

近期一個訪問量高的腳本受到攻擊，成千上萬的站點被注入瀏覽器內的Monero礦工，影響有4275個網站，其中甚至包括政府網站，如uscourts.gov,http://ico.org.uk和http://manchester.gov.uk。所有這些網站都有一個共同點，他們利用了由http://TextHelp.com提供的名為BrowseAloud的可訪問性腳本，而該腳本包含了將Coinhive礦工注入到所有這些網站的混淆代碼。

五、垃圾郵件

垃圾郵件是個人和企業都非常關注的安全事件，跟大家的生活息息相關，垃圾郵件所利用的漏洞也一直緊跟時代，利用部分用戶未及時更新補丁的特點，使用新出的漏洞進行攻擊，以確保攻擊成功率。

大量垃圾郵件利用Adobe Flash Player漏洞攻擊未打補丁的用戶

近期大量垃圾郵件利用Adobe Flash Player的漏洞CVE-2018-4878進行傳播，攻擊者發送帶有短連接的惡意Word文檔的電子郵件，在下載並打開Word文檔後，利用Flash漏洞2018-4878打開命令行，稍後用鏈接到的惡意域的惡意shellcode遠程注入命令，下載一個名為m.db的DLL文件，並使用regsvr32進程執行。

六、數據泄露

在企業端，除了定向的，有目的的攻擊之外，還存在一些由於操作違規或安全意識不足等行為，導致系統中毒或信息訪問違規，而出現的數據泄露事件。二月數據泄露事件影響較大的有瑞士電視Swisscom數據泄露事件和潛在的POS終端信用卡數據泄露事件。

1、瑞士電信Swisscom數據泄露，80萬用戶受影響

最近據瑞士電信公司透露，其客戶數據系統遭到破壞，大約80萬客戶的信息被盜用，客戶姓名、地址、電話號碼和出生日期都被曝光。電信公司稱，系統沒有被黑客攻擊，而是「盜用銷售合作夥伴的訪問權」導致信息泄露。

2、UDPoS惡意軟體通過DNS伺服器泄露信用卡數據

最近UDPoS惡意軟偽裝成LogMeln服務包，通過DNS伺服器泄露數據，由於它大量使用基於UDP的DNS流量而得名。該惡意軟體僅有88KB大小，但仍具有一個多線程應用程序的監視器組件，該應用程序會在其初始化代碼完成後，創建五個不同的線程。該惡意軟體的攻擊目標可能是零售商、酒店和餐館等大型連鎖店的POS終端。