一个5年前未修补的高危漏洞，让超2万台电脑中招

“永恒之蓝”的余波未平…

据腾讯安全御见威胁情报中心披露：有团伙利用 Lcy2Miner挖矿木马感染超过2万台电脑，北京、广东受害最严重，影响众多行业，其中，互联网服务、批发零售业、科技服务业位居前三。

目前，该团伙通过挖矿获得门罗币147个，市值约6.5万元人民币。

整个攻击过程如下：

首先，攻击者会搭建多个HFS服务器提供木马下载，并在其服务器web页面构造IE漏洞攻击代码。当存在漏洞的电脑被诱骗访问攻击网站时，即触发漏洞下载大灰狼远程控制木马。

然后， 由远控木马下载门罗币挖矿木马和“永恒之蓝”漏洞攻击模块，并利用“永恒之蓝”漏洞攻击工具在企业内网攻击传播。

企业网络中一台终端中招，就会导致攻击者利用永恒之蓝漏洞在内网继续攻击传播，让更多终端电脑被安装挖矿木马。不幸的是，永恒之蓝系列攻击工具是在2年半之前公开并发布漏洞补丁。

最终，攻击者通过组建僵尸网络挖矿牟利。

腾讯安全称，“中毒电脑被安装大灰狼远控木马，可以执行搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能， 对企业信息安全构成严重威胁。”

根据分析，被利用的漏洞是CVE-2014-6332，这是微软2014年11月11日发布的一个IE浏览器漏洞，官方定义为远程代码执行漏洞，影响IE版本IE3-IE11。

可惜的是，这个五年前就发布的高危漏洞，仍然有用户没有进行修补，结果造成数万台电脑中招。

腾讯安全建议用户修复该团伙利用的已知漏洞，包括IE漏洞和永恒之蓝系列漏洞。

1.针对MS010-17 “永恒之蓝”漏洞的防御：

服务器暂时关闭不必要的端口（如135、139、445） ，方法参考该文章

2.下载并更新Windows系统补丁，及时修复永恒之蓝系列漏洞：

XP、Windows Server 2003、Win8等系统访问此文；

Win7、Win8.1、Windows Server 2008、Windows 10、Windows Server 2016等系统访问此文

3.修复漏洞CVE-2014-6332，参考微软官方公告安装补丁

关于攻击详细分析，可查看文章。