近日，安天 CERT 在梳理網(wǎng)絡(luò)安全事 件時發(fā)現(xiàn)一個名為 Beapy 的惡意軟件。這 種挖礦木馬主要借助釣魚郵件進行傳播， 一旦受害者點擊郵件附件中的 Excel 文檔， Beapy 就會釋放“雙脈沖星”后門，并利 用“永恒之藍”漏洞在內(nèi)網(wǎng)中傳播擴散。 Beapy 不僅利用“永恒之藍”漏洞進行傳播， 還會使用工具 Mimikatz 來收集和使用受感 染計算機的口令，以便操縱整個內(nèi)網(wǎng)網(wǎng)絡(luò)。

      Beapy 由 Python 和 PowerShell 組 件 組 成，當受感染計算機安裝“雙脈沖星”后 門 后， 就 會 執(zhí) 行 PowerShell 命 令， 與 C2 服務器進行連接，并下載一個門羅幣挖礦 程序。之后 Beapy 會使用“永恒之藍”漏洞利用工具進行內(nèi)網(wǎng)傳播，重復此過程， 最終導致內(nèi)網(wǎng)主機大面積感染該惡意軟 件。雖然該惡意軟件不會竊取用戶數(shù)據(jù)， 但感染該惡意軟件會造成諸多不良影響。 如設(shè)備性能的下降、電池過熱、設(shè)備老化、 無法使用等，影響工作效率導致生產(chǎn)力下 降。增加基于 CPU 使用量計費的云計算業(yè) 務花銷、增加電力使用量，導致 IT 成本上 升。此外，感染該挖礦木馬后的清除程序 比較繁瑣，很大情況下還會出現(xiàn)內(nèi)網(wǎng)傳播 的情況。

      安天 CERT 提醒廣大政企客戶，應提 高網(wǎng)絡(luò)安全意識。在日常工作中及時進行 系統(tǒng)更新和漏洞修復，不隨意下載非正版的應用軟件，注冊機等。收發(fā)郵件時應確 認收發(fā)來源是否可靠，不隨意點擊或者復 制郵件中的網(wǎng)址，不輕易下載來源不明的 附件，發(fā)現(xiàn)網(wǎng)絡(luò)異常要提高警惕并及時采 取應對措施，養(yǎng)成及時更新操作系統(tǒng)和軟 件應用的良好習慣。確保所有的計算機在 使用遠程桌面服務時避免使用弱口令，如 果業(yè)務上無需使用遠程桌面服務，建議將 其關(guān)閉。

      目前，安天追影產(chǎn)品已經(jīng)實現(xiàn)了對該 類挖礦木馬的鑒定；安天智甲已經(jīng)實現(xiàn)了 對該挖礦木馬的查殺。