“永恒之蓝” 漏洞已被利用传播恶意软件 Gh0st RAT 与 Nitol 后门

FireEye 安全研究人员于近期发现 ExternalBlue （永恒之蓝）漏洞已被黑客利用传播 Nitol 后门与恶意软件 Gh0st RAT。

恶意软件 Gh0st RAT 是一款针对 Windows 系统的木马程序，该恶意软件主要被用于攻击政府机构、政治积极分子与其他政治目标；Nitol 后门则与影响旧版 IE 浏览器的 ADODB.Stream ActiveX Object 远程代码执行漏洞有关。

此次黑客传播 Nitol 后门与恶意软件 Gh0st RAT 所使用的技术与勒索软件 WannaCry 较为相似。一旦机器被成功感染，该恶意程序首先会自动打开一个 shell 并将指令写入 VBScript 文件中，然后执行程序获取另一台服务器中的 payload。

图：EternalBlue “永恒之蓝” 的利用机制

目前研究人员已在新加坡与南亚地区检测到一些恶意样本。安全专家预测，在未来几周或数月内，或将有更多攻击者利用不同 payload 将 Nitol 后门与恶意软件 Gh0st RAT 传播至世界各地。安全专家建议用户除了对系统与网络进行常规补丁管理外，系统管理员还需启用入侵检测与预防系统，禁用过时或不必要的协议与端口、主动监控网络流量、保护端点与部署安全机制。

FireEye 详细研究报告请戳这里。

原作者：Tom Spring，译者：青楚

from hackernews.cc.thanks for it.

拓展阅读(点评/知识)：

https://www.fireeye.com/blog/threat-research/2017/05/threat-actors-leverage-eternalblue-exploit-to-deliver-non-wannacry-payloads.html

https://www.fireeye.com/blog/threat-research/2017/05/threat-actors-leverage-eternalblue-exploit-to-deliver-non-wannacry-payloads.html