近日,火绒安全实验室监测到蠕虫病毒“Prometei”正在全网传播。该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵,并且可以跨平台(Window、Linux、macOS等系统)横向传播。火绒安全提醒广大用户,尤其是企业、政府部门、学校、医院等拥有大型局域网机构,及时做好排查与防护工作,避免受到该病毒影响。目前,火绒安全(个人版、企业版)产品已对该病毒进行拦截查杀。
根据火绒安全实验室溯源分析,该病毒入侵终端后,会通过远程服务器接收并执行病毒作者下发的各类指令,包括挖矿、更新病毒模块、下发新的病毒模块等恶意行为。除此之外,该病毒还会通过创建服务、注册表添加自启动等方式达到长期驻留用户终端的目的,并通过修改防火墙规则来削弱系统安全性,甚至不排除病毒作者通过后门指令对外网终端进行攻击的可能性。
病毒恶意行为执行流程
更为严重的是,该病毒在入侵终端后,还可以根据病毒作者下发的后门指令,对同一网段下的其它终端进行横向渗透攻击,造成更大的影响,威胁更多局域网用户。根据火绒安全实验室分析,病毒主要通过弱口令暴破和漏洞两种方式进行横向渗透,其中,病毒使用的漏洞包括“永恒之蓝”漏洞、Redis未授权访问漏洞、BlueKeep漏洞、Apache Log4j漏洞等常见高危漏洞。另外,该病毒目前依旧在更新中,不排除后续引入更多攻击方式进行横向渗透攻击的可能性。
C&C服务器地址
蠕虫病毒特点为不断复制自身,且可携带其它病毒模块,并“擅长”通过漏洞攻击或者横向渗透进行传播,从而大面积感染目标设备,是局域网中常见的一大威胁。
近年来,火绒安全也不断升级查杀和防护技术,从而有效阻止蠕虫病毒在局域网肆意传播的现象:如【远程登录防护】功能,可以有效抵挡病毒的RDP、SMB等暴破行为;【横向渗透防护】功能可以有效拦截病毒后续渗透入侵行为,做到阻断病毒在局域网内扩散,避免终端受到病毒的影响;【Web服务保护】、【网络入侵拦截】、【对外攻击拦截】则可以对上述服务漏洞、系统漏洞攻击进行及时拦截。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。