199期报告汇总
安天发布《Beapy 挖矿木马分析报告》
 
     近日,安天 CERT 在梳理网络安全事 件时发现一个名为 Beapy 的恶意软件。这 种挖矿木马主要借助钓鱼邮件进行传播, 一旦受害者点击邮件附件中的 Excel 文档, Beapy 就会释放“双脉冲星”后门,并利 用“永恒之蓝”漏洞在内网中传播扩散。 Beapy 不仅利用“永恒之蓝”漏洞进行传播, 还会使用工具 Mimikatz 来收集和使用受感 染计算机的口令,以便操纵整个内网网络。

      Beapy 由 Python 和 PowerShell 组 件 组 成,当受感染计算机安装“双脉冲星”后 门 后, 就 会 执 行 PowerShell 命 令, 与 C2 服务器进行连接,并下载一个门罗币挖矿 程序。之后 Beapy 会使用“永恒之蓝”漏洞利用工具进行内网传播,重复此过程, 最终导致内网主机大面积感染该恶意软 件。虽然该恶意软件不会窃取用户数据, 但感染该恶意软件会造成诸多不良影响。 如设备性能的下降、电池过热、设备老化、 无法使用等,影响工作效率导致生产力下 降。增加基于 CPU 使用量计费的云计算业 务花销、增加电力使用量,导致 IT 成本上 升。此外,感染该挖矿木马后的清除程序 比较繁琐,很大情况下还会出现内网传播 的情况。

      安天 CERT 提醒广大政企客户,应提 高网络安全意识。在日常工作中及时进行 系统更新和漏洞修复,不随意下载非正版的应用软件,注册机等。收发邮件时应确 认收发来源是否可靠,不随意点击或者复 制邮件中的网址,不轻易下载来源不明的 附件,发现网络异常要提高警惕并及时采 取应对措施,养成及时更新操作系统和软 件应用的良好习惯。确保所有的计算机在 使用远程桌面服务时避免使用弱口令,如 果业务上无需使用远程桌面服务,建议将 其关闭。

      目前,安天追影产品已经实现了对该 类挖矿木马的鉴定;安天智甲已经实现了 对该挖矿木马的查杀。