警惕！挖矿病毒再次肆虐网络空间

随着虚拟货币价格回暖，挖矿病毒肆虐横行。近期，不少企业的关键业务受到影响，经过排查发现均存在主机CPU长时间满荷载运行及其他资源占用过高的现象，引起该现象的原因是攻击者利用WannaMine变种病毒进行集体挖矿。

如下图所示，攻击者一般通过利用NSA黑客武器库中“永恒之蓝”攻击程序，攻陷主机种植挖矿病毒，然后发起对局域网445端口的扫描以获取更多的可攻击地址，最后以该主机为媒介对可访问主机进行“永恒之蓝”攻击并种植挖矿病毒，从而利用局域网内大规模被攻陷的主机进行集体挖矿。

(黑客攻击过程示意图)

“WannaMine变种病毒”可以通过流量检测来发现，该攻击一般会有 Windows SMB登录尝试行为以及“永恒之蓝”漏洞利用行为，在利用成功后即可种植挖矿病毒，同时利用该被攻陷主机为媒介对其他可访问主机发起上述攻击行为，并进行局域网内445端口扫描行为以获取更多的可攻击地址。

(攻击过程检测示意图)

针对“WannaMine变种病毒”，绿盟全流量威胁分析系统已具备上述行为的自动化检测模型，并在客户实际环境中发现了多起WannaMine变种病毒挖矿行为。

(WannaMine告警示意图)

绿盟全流量威胁分析系统能大幅降低需要关注的告警数量，将原来需要人工进行的应急响应进行自动化，降低运维工作量，提升应急响应效率！

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP