“永恒之蓝”死灰复燃：1.5万台服务器变矿机

　　2017 年 5 月，“永恒之蓝”席卷全球，有 90 个国家遭到攻击，国内教育网是遭到攻击的重灾区，大量校园网用户成为攻击目标，致使许多实验数据及毕业设计被锁。

　　近日，腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种，此次变种利用 Python 打包 EXE 可执行文件进行攻击，该组织曾在 2018 年底使用过类似手法。

　　腾讯安全大数据监测数据显示，永恒之蓝下载器最新变种出现之后便迅速传播，目前已感染约 1.5 万台服务器，中毒系统最终用于下载运行门罗币挖矿木马。

　　腾讯方面表示，永恒之蓝下载器木马在不断演进更新过程中，曾将 EXE 攻击方式逐步切换到利用 Powershell 脚本实现无文件攻击。在其功能越来越庞大之后，该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql 爆破攻击的代码重新添加到 EXE 木马中，并对 Powershell 中相关代码进行屏蔽。

　　被​本次变种攻击​失陷后的系统会下载 if.bin、下载运行由随机字符串命名的 EXE 攻击模块进行大规模的漏洞扫描和攻击传播，同时会下载门罗币挖矿木马占用服务器大量 CPU 资源挖矿，会给受害企业造成严重生产力损失。

　　腾讯安全专家建议企业网管对企业网络资产进行安全检测，以及时消除永恒之蓝下载器木马的破坏活动。