2017年5月，利用“永恒之藍”漏洞傳播的“WannaCry”勒索病毒肆虐，席卷全球150多個國家，給全球經濟帶來巨大損失。時隔一年，雖然“WannaCry”已經被打敗，“永恒之藍”漏洞卻余威尚在，關于企事業單位因未安裝補丁或部署該漏洞的防護類措施而中招的消息頻頻傳出。

近日，騰訊御見威脅情報中心捕獲一款門羅幣挖礦木馬，正是通過“永恒之藍”漏洞進行傳播，企業服務器一旦被其攻陷，就會下載挖礦木馬包并運行。該木馬于今年3月開始活動，近期表現更加活躍，其挖礦收入已高達120萬人民幣，騰訊御見威脅情報中心將其命名為“微笑”。

（圖：騰訊電腦管家實時攔截“微笑”木馬）

在微笑的假面下，這個木馬的攻擊性卻很強。“微笑”木馬通過掃描器對企業網絡端口進行掃描，并啟動“永恒之藍”攻擊模塊，嘗試攻擊已開放445端口的主機。目標服務器被成功攻陷后將訪問指定地址，下載文件名為weilai.exe或weixiao.exe的木馬包并運行，將企業設備變成木馬作者的挖礦機器。

（圖：“微笑”木馬攻擊流程）

除挖礦外，“微笑”木馬的鍵盤記錄模塊還會竊取用戶隱私。其在后臺靜默上傳用戶的軟件安裝列表、寬帶用戶名密碼及一些硬件信息，甚至還能獲取用戶IP對應的公司或精確位置，對企業信息安全造成嚴重威脅。

（圖：“微笑”木馬獲取企業精確位置）

通過對“微笑”木馬攻擊行為進行追蹤，騰訊御見威脅情報中心成功鎖定了該木馬指定地址的域名注冊信息趙*，發現該木馬使用的錢包已經累計挖取846枚門羅幣。按照最新匯率計算，折合人民幣約120萬元，這意味著，不法黑客利用微笑木馬在短短半年多時間內就“賺”到上百萬元。

“永恒之藍”本是美國國家安全局NSA旗下的黑客組織Equation Group開發的網絡攻擊工具，它能夠掃描并利用運行在TCP 445端口之上的Windows SMB文件共享協議的漏洞，上傳勒索軟件等惡意軟件到Windows系統。近一年來，從撒旦（Satan）勒索病毒、WannaMiner挖礦木馬到“微笑”木馬，“永恒之藍”漏洞已經成為被利用程度最高的安全漏洞之一。

騰訊企業安全技術專家建議廣大企業用戶，如在企業內網發現疑似“微笑”木馬襲擊，應及時定位和隔離已中毒機器；迅速安裝“永恒之藍”漏洞補丁，手動安裝“永恒之藍”漏洞補丁，可訪問補丁下載鏈接，其中WinXP、Windows Server 2003用戶可訪問；全網安裝專業終端安全管理軟件，如騰訊企業安全“御點”，由管理員對全網進行批量殺毒和安裝補丁，后續可及時更新各類系統高危補丁，避免造成不必要的損失。

（圖：騰訊御點終端安全管理系統）