近日,火绒平安实验室监测到蠕虫病毒“Prometei”正在全网流传。该病毒通过横向浸透攻击方式对局域网中的终端进行大面积入侵,并且能够跨平台(Window、Linux、macOS 等零碎)横向流传。火绒平安揭示宽广用户,尤其是企业、政府部门、学校、医院等领有大型局域网机构,及时做好排查与防护工作,防止受到该病毒影响。目前,火绒平安(个人版、企业版)产品已对该病毒进行拦挡查杀。
依据火绒平安实验室溯源剖析,该病毒入侵终端后,会通过近程服务器接管并执行病毒作者下发的各类指令,包含挖矿、更新病毒模块、下发新的病毒模块等歹意行为。除此之外,该病毒还会通过创立服务、注册表增加自启动等形式达到长期驻留用户终端的目标,并通过批改防火墙规定来减弱零碎安全性,甚至不排除病毒作者通过后门指令对外网终端进行攻打的可能性。
病毒歹意行为执行流程
更为严重的是,该病毒在入侵终端后,还能够依据病毒作者下发的后门指令,对同一网段下的其它终端进行横向浸透攻打,造成更大的影响,威逼更多局域网用户。依据火绒平安实验室剖析,病毒次要通过弱口令暴破和破绽两种形式进行横向浸透,其中,病毒应用的破绽包含“永恒之蓝”破绽、Redis 未受权拜访破绽、BlueKeep 破绽、Apache Log4j 破绽等常见高危破绽。另外,该病毒目前仍旧在更新中,不排除后续引入更多攻击方式进行横向浸透攻打的可能性。
C&C 服务器地址
蠕虫病毒特点为一直复制本身,且可携带其它病毒模块,并“善于”通过破绽攻打或者横向浸透进行流传,从而大面积感化指标设施,是局域网中常见的一大威逼。
近年来,火绒平安也一直降级查杀和防护技术,从而无效阻止蠕虫病毒在局域网肆意流传的景象:如【近程登录防护】性能,能够无效抵御病毒的 RDP、SMB 等暴破行为;【横向浸透防护】性能能够无效拦挡病毒后续浸透入侵行为,做到阻断病毒在局域网内扩散,防止终端受到病毒的影响;【Web 服务爱护】、【网络入侵拦挡】、【对外攻打拦挡】则能够对上述服务破绽、系统漏洞攻打进行及时拦挡。