近日，騰訊安全御見威脅情報中心捕獲到一個利用多種攻擊方式在內網傳播的挖礦木馬SpreadMiner。該木馬利用永恒之藍漏洞（MS17-010）攻擊內網，通過Lnk漏洞（CVE-2017-8464）感染共享目錄和移動存儲設備，同時還對MS SQL服務器進行弱口令爆破攻擊。企業網絡一旦攻陷，攻擊者不僅會執行Payload植入挖礦木馬，而且還利用攻擊模塊為下一輪攻擊做準備，導致內網中毒電腦不斷增加。截止目前，國內企業電腦感染數已超5000臺。

因病毒作者在代碼多處用詞、命名十分粗魯，技術專家將其命名為“粗魯的礦工”。對于已中招的企業用戶，騰訊安全技術專家建議盡快修補漏洞，避免使用SQL弱密碼，推薦使用騰訊御點終端安全管理系統或騰訊電腦管家進行查殺。

據騰訊安全技術專家介紹，該木馬主要利用永恒之藍漏洞、Lnk漏洞、MS SQL弱口令爆破等方式同時對企業網絡發動攻擊。“粗魯的礦工”不僅會運行Spread.exe釋放門羅幣挖礦程序進行牟利，而且還不斷循環攻擊模塊，使得攻擊者在企業內網進行大范圍的傳播。同時為避免消耗感染資源嚴重而暴露目標，該木馬會監視檢查任務管理器進程，一旦發現，則會立刻退出程序停止挖礦。

（圖：“粗魯的礦工”攻擊流程）

此次“粗魯的礦工”利用的漏洞背后“大有來頭”，自2017年被不法黑客組織公開之后，永恒之藍漏洞備受攻擊者青睞，曾被WannaCry等多種著名勒索病毒使用，影響范圍遍及全球。盡管當前絕大多數用戶都已修復了該漏洞，但仍有一小部分未修復的企業用戶面臨被攻擊的風險。

“臭名昭著”的Lnk漏洞主要用來攻擊基礎設施、存放關鍵資料的核心隔離系統等，類似于震網病毒所使用的零日漏洞。其顯著特點是當用戶查看到攻擊Lnk文件所在的文件夾，就會觸發漏洞，如LNK病毒感染了移動存儲設備，或網絡共享文件夾時，存在漏洞的電腦只要瀏覽查看這個文件夾，就會中毒。因而有“看一眼就中毒”的“美譽”。此外，因部分企業管理員安全意識薄弱，在配置MS SQL服務器的sa賬號登錄時，使用強度較低的密碼，容易被不法黑客暴力破解。

面對愈發猖獗的“粗魯的礦工”木馬，騰訊安全反病毒實驗室負責人馬勁松提醒政企機構務必高度重視，并提出三大安全建議：首先，加強企業網絡安全保護，及時下載并更新Windows系統補丁以及修復各類安全漏洞；其次，企業服務器須使用高強度密碼，切勿使用弱口令，以防遭不法黑客暴力破解；此外推薦全網部署騰訊御點終端安全管理系統，終端殺毒和修復漏洞統一管控，以及策略管控等全方位的安全管理功能，可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。

（圖：騰訊御點終端安全管理系統）