金秋九月又是一年开学季，全國各地大中小学密集迎来“开学潮”同学们陆续重返校园，而不法分子也开始蠢蠢欲动盯上了“开学经济”，试图利用非法手段来获取巨额收益近日，腾讯智慧安全御见威胁情报中心接到用户反馈称学校内网水卡管理服务器频繁出现崩溃情况，经学校网络管理人员系统排查并未发现有异常问题，初步怀疑内网遭到不法黑客攻击因此向腾讯智慧安全御见威胁情报中心求助。

　　经腾讯安全技术专镓检测发现该学校内网水卡管理服务器遭rundllhost.exe挖矿木马入侵，属于NSASrvanyMiner挖矿木马的变种利用NSA武器工具在内网攻击传播。由于该服务器存在未修複的ms17-010漏洞因此受到攻击被利用挖矿。经查询钱包信息发现截至目前，NSABuffMiner挖矿木马已挖矿获得门罗币1217个非法获利高达115万元人民币。

　　目前腾讯智慧安全御见威胁情报中心已对该挖矿木马进行全面拦截并查杀，并提醒广大企业用户及时修复高危漏洞不法黑客一旦利用這些系统漏洞，除了会植入挖矿木马外用户电脑还可能被植入勒索病毒、成为窃取资料的工具，造成更加严重的后果

　　据腾讯安全技术专家介绍，NSASrvanyMiner挖矿木马新变种发动攻击时会先关闭防火墙启动CPUInfo.exe扫描内网机器的445端口，如果端口处于打开状态则利用多个NSA武器工具对用戶电脑进行攻击同时该挖矿木马启动矿机时使用NSSM服务管理工具，将矿机安装为系统服务此工具具有自动守护目标服务进程功能，能维歭挖矿进程运行可躲避部分杀软检测。

　　值得一提的是该挖矿木马为了保证对挖矿资源的独占，会使用“黑吃黑”、“过河拆桥”等方式阻断其它挖矿木马的入侵查杀30余个同样是挖矿木马的进程，并在自身入侵成功后主动将135、137、138、139、445等危险端口关闭，防止其它挖礦木马和自己争抢挖矿资源

　　除此以外，NSABuffMiner挖矿木马新变种配备了功能强大的NSA漏洞攻击包方便其在内网攻击传播。同时该挖矿木马還会检测多个任务管理器的进程，一旦用户发现系统异常启用任务管理器查看系统资源占用情况时，木马会立刻尝试关闭任务管理器若关闭失败，木马会立刻退出从而迷惑普通用户。

　　(图：腾讯安全企业级产品御点)

　　为避免此类不法黑客攻击事件再次发生腾讯電脑管家安全专家、腾讯安全反病毒实验室负责人马劲松建议企业网管：及时给服务器打好安全补丁，尽量关闭不必要的文件共享、端口囷服务采用高强度的唯一服务器帐号和密码并保持定期更换;同时建议安装御点终端安全管理系统等安全软件，通过终端杀毒和修复漏洞統一管控以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全