部分挖矿程序利用 CVE–2017–8464 LNK 代码执行漏洞攻击预警

阅读量229651

发布时间 : 2018-03-12 19:27:26

报告编号: B6-2018-031201

报告来源: 360CERT

报告作者: 360CERT

更新日期: 2018-03-12

事件概述

去年6月份微软修复了CVE–2017–8464 LNK代码执行漏洞,成功利用这个漏洞会获得与本地用户相同的用户权限,攻击者可以通过任意可移动驱动器(如U盘)或者远程共享的方式传播攻击,该漏洞又被称为“震网三代”漏洞。随后rapid7在metasploit-framework项目中提交了关于该漏洞的exploit,360CERT在第一时间发布了相关预警通告: CVE–2017–8464 LNK 代码执行漏洞野外利用预警

下面是某个被野外利用挖矿的样本,该样本早在去年12月就被制作好并上传到VT了。

enter image description here

通过利用LNK漏洞加载指定目录下的dll:

enter image description here

攻击者挖的是门罗币,可以看到主体挖矿程序来自开源代码:

enter image description here

可能会有更多恶意代码利用该漏洞,特别对于在企业,学校等局域网中频繁使用U盘的用户来说风险更大。攻击者通过利用LNK漏洞和设置U盘自动播放,一旦存在漏洞的电脑插入含有病毒的可移动磁盘就会被感染,并且还会感染其它插入的可移动磁盘。 360早在微软发布漏洞通告后就能有效拦截此类病毒,360CERT建议广大用户安装360安全卫士防护,根据提示更新补丁:

enter image description here

时间线

2017-06-14 微软发布编号为CVE-2017-8464的漏洞公告

2017-07-26 360CERT发布CVE-2017-8464 LNK代码执行漏洞野外预警

2018-03-12 360CERT更新预警通告

参考链接

  1. CVE–2017–8464 LNK 代码执行漏洞野外利用预警
  2. CVE-2017-8464 | LNK Remote Code Execution Vulnerability

本文转载自: https://cert.360.cn

如若转载,请注明出处: https://cert.360.cn/warning/detail?id=82a8a0f9cc944ee88cda5cc1ba99ac81

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360CERT安全通告
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66