近日，騰訊智慧安全御見威脅情報中心監控發現，不法黑客疑似利用Weblogic反序列化漏洞入侵企業服務器，下載挖礦木馬Real.exe進行挖礦，致使機器資源消耗嚴重，直接影響日常工作運轉。此外，不法黑客一旦取得服務器控制權之后，其還可以竊取服務器數據、利用服務器做跳板入侵內網、利用服務器攻擊其他電腦、或者在服務器下載運行勒索病毒，徹底毀滅服務器數據等一系列惡意攻擊行為，帶來極大的網絡安全風險。

據悉，WebLogic是美國Oracle公司出品的基于JAVAEE架構的中間件，主要用于開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器，通過將Java的動態功能和Java Enterprise標準的安全性引入大型網絡應用的開發、集成、部署和管理之中，深受網站開發人員歡迎。

值得一提的是，Weblogic存在多個高危漏洞。近期公布的Weblogic反序列化遠程命令執行漏洞(CVE-2018-2893)和Weblogic任意文件上傳漏洞(CVE-2018-2894)。其中CVE-2018-2893為之前CVE-2018-2628的繞過，從歷史上來看，Weblogic的漏洞修復基本是基于黑名單的修復，這種修復方式一旦被發現存在新的攻擊利用鏈即可繞過。

（圖：real.exe木馬運行原理）

據騰訊安全技術專家介紹，不法黑客利用Weblogic反序列化漏洞入侵成功后會執行遠程腳本，該腳本會進一步拉取DownLoader木馬real.exe執行。作為一款隱蔽性極強的DownLoader木馬，Real.exe通過python編寫后使用打包工具打包生成的exe，隱蔽性極強。同時該木馬運行Main.exe、Sun.exe 、She.exe等工具，來維護啟動項，并檢測礦機進程是否存在，如果沒有運行則再次拉取礦機相關程序執行，以此保證礦機挖礦效率。

目前，不法黑客利用Weblogic反序列化漏洞攻擊了近萬臺服務器，至今仍有約三分之一采用Weblogic架構的Web應用服務器未能及時修補漏洞。據騰訊御見威脅情報中心的監控顯示，該木馬自7月以來整體呈現上升趨勢，其中北上廣三個地區受災程度位居前三，其它地區也有不同程度分布。

（圖：傳播趨勢及地域分布）

通過Weblogic高危漏洞遭不法黑客入侵事件來看，木馬病毒不斷變換的作案手法令用戶越來越難以察覺。同時結合近期頻發的網絡安全事件來看，不法黑客正在尋找更為隱蔽且高效的傳播方式，以實現自己的非法獲利企圖。

對此，騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大服務器管理員，可通過T3協議訪問控制，設置訪問白名單；同時Oracle官方已經在7月的關鍵補丁更新中修復了此漏洞，受影響的用戶建議盡快升級更新進行防護。

（圖：騰訊企業級安全產品御點）

另外，馬勁松還建議企業應設立相關的安全監管部門，制定相關對應措施，優先使用終端殺毒軟件，增強防御方案的完整性和立體性，在遭受攻擊時能更高效地解決問題，把企業損失降到最低。