攻击|“紫狐”挖矿僵尸网络正利用“PrintNightmare”漏洞发起攻击_sophos|解决方案|地址|模型|sop

6月30日，有安全人员发布一个Windows打印机远程代码执行漏洞概念验证，并将该漏洞命名为“PrintNightmare”。据悉，此漏洞可允许低权限用户对本地网络中的电脑发起攻击，从而控制存在漏洞的电脑，而域环境中的普通用户能够利用该漏洞对域控服务器发起攻击，控制整个域。
7月3日，微软发布公告称“PrintNightmare”漏洞可影响几乎所有主流Windows版本，具体漏洞编号为CVE-2021-34527。而360安全大脑仅在公告发布一天后，就监测到“紫狐”挖矿僵尸网络正利用“PrintNightmare”漏洞发起攻击。
据悉，“紫狐”僵尸网络是一个规模庞大的挖矿僵尸网络，惯常使用网页挂马、MsSQL数据库弱口令爆破等方式入侵机器，入侵成功后会尝试在局域网横向移动，并在机器中植入挖矿木马进行获利。
经360高级威胁研究分析中心研判分析发现，“紫狐”僵尸网络利用“PrintNightmare”漏洞入侵域内机器后，将文件名为“AwNKBOdTxFBP.dll”的恶意dll注入打印机进程spoolsv.exe中，恶意dll会将恶意注入rundll32.exe，启动PowerShell下载并执行僵尸程序。攻击流程和恶意PowerShell代码如下图所示。

文章插图
执行的PowerShell代码，解码后内容如下：

文章插图
待僵尸程序下载并执行后，受害机器就会彻底沦为“紫狐“僵尸网络的一个节点，并且还会在挖矿的同时对网络中的其他机器发起攻击。
就在漏洞曝光后不久，360安全大脑漏洞防护在第一时间支持了该漏洞的攻击拦截，并且在360安全卫士、 Win7 盾甲等产品里添加了针对该漏洞的微补丁免疫，可使系统在未安装补丁或无法连接互联网时，也能有效防御该类型的攻击。

文章插图
就在今天凌晨，微软紧急推出了 “PrintNightmare”的修复补丁，并且对已经停止支持的Windows 7系统也发布了相应补丁，可见这个漏洞影响之严重，360安全大脑建议用户，尽快进行更新，预防该漏洞攻击。
如果企业管理员想排查企业内网是否受到此次木马攻击，则可通过IOCS来排查。
IOCS:
45c3f24d74a68b199c63c874f9d7cc9f
【攻击|“紫狐”挖矿僵尸网络正利用“PrintNightmare”漏洞发起攻击】bc625f030c80f6119e61e486a584c934
hxxp://6kf[.]me/dl.php
除上述建议外，360安全大脑团队还针对用户安全，给出如下安全建议:

- 用户在下载安装软件时,可优先通过软件官网、360软件管家查找安装,以此来避免在不正规下载站下载后导致的恶意捆绑和故障；
- 提高安全意识,不随意打开陌生人发来的各种文件,如需打开务必验证文件后缀是否与文件名符合；
- 对于来路不明的电子邮件，提高警惕，不要轻易点击打开其中包含的任何链接、附件；
- 可疑文档勿启用宏代码，如打开过程发现任何警告信息，及时阻止，不要点击忽略或允许。

作为累计服务13亿用户的PC安全产品，360安全卫士上线十五年来一直致力于为用户提供全方位的安全守护。目前，360安全卫士形成了集合木马查杀、漏洞修复、隐私保护、勒索解密等多重功能于一体的安全解决方案。未来，360安全卫士将继续深耕安全技术，为用户提供更加及时、更具针对性的安全守护。