近日,，騰訊智慧安全御見威脅情報中心監(jiān)控發(fā)現(xiàn),，不法黑客疑似利用Weblogic反序列化漏洞入侵企業(yè)服務器，下載挖礦木馬Real.exe進行挖礦，致使機器資源消耗嚴重，直接影響日常工作運轉(zhuǎn)。此外，不法黑客一旦取得服務器控制權(quán)之后，其還可以竊取服務器數(shù)據(jù),、利用服務器做跳板入侵內(nèi)網(wǎng)、利用服務器攻擊其他電腦,、或者在服務器下載運行勒索病毒,，徹底毀滅服務器數(shù)據(jù)等一系列惡意攻擊行為，帶來極大的網(wǎng)絡安全風險,。

據(jù)悉,，WebLogic是美國Oracle公司出品的基于JAVAEE架構(gòu)的中間件，主要用于開發(fā),、集成,、部署和管理大型分布式Web應用、網(wǎng)絡應用和數(shù)據(jù)庫應用的Java應用服務器,，通過將Java的動態(tài)功能和Java Enterprise標準的安全性引入大型網(wǎng)絡應用的開發(fā),、集成、部署和管理之中,，深受網(wǎng)站開發(fā)人員歡迎,。

值得一提的是，Weblogic存在多個高危漏洞,。近期公布的Weblogic反序列化遠程命令執(zhí)行漏洞(CVE20182893)和Weblogic任意文件上傳漏洞(CVE20182894),。其中CVE20182893為之前CVE20182628的繞過，從歷史上來看,，Weblogic的漏洞修復基本是基于黑名單的修復,，這種修復方式一旦被發(fā)現(xiàn)存在新的攻擊利用鏈即可繞過,。

（圖：real.exe木馬運行原理）

據(jù)騰訊安全技術(shù)專家介紹,，不法黑客利用Weblogic反序列化漏洞入侵成功后會執(zhí)行遠程腳本，該腳本會進一步拉取DownLoader木馬real.exe執(zhí)行,。作為一款隱蔽性極強的DownLoader木馬,，Real.exe通過python編寫后使用打包工具打包生成的exe,，隱蔽性極強。同時該木馬運行Main.exe,、Sun.exe ,、She.exe等工具，來維護啟動項,，并檢測礦機進程是否存在,，如果沒有運行則再次拉取礦機相關(guān)程序執(zhí)行，以此保證礦機挖礦效率,。

目前,，不法黑客利用Weblogic反序列化漏洞攻擊了近萬臺服務器，至今仍有約三分之一采用Weblogic架構(gòu)的Web應用服務器未能及時修補漏洞,。據(jù)騰訊御見威脅情報中心的監(jiān)控顯示,，該木馬自7月以來整體呈現(xiàn)上升趨勢，其中北上廣三個地區(qū)受災程度位居前三,，其它地區(qū)也有不同程度分布,。

（圖：傳播趨勢及地域分布）

通過Weblogic高危漏洞遭不法黑客入侵事件來看，木馬病毒不斷變換的作案手法令用戶越來越難以察覺,。同時結(jié)合近期頻發(fā)的網(wǎng)絡安全事件來看,，不法黑客正在尋找更為隱蔽且高效的傳播方式，以實現(xiàn)自己的非法獲利企圖,。

對此,，騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松提醒廣大服務器管理員,，可通過T3協(xié)議訪問控制,，設置訪問白名單；同時Oracle官方已經(jīng)在7月的關(guān)鍵補丁更新中修復了此漏洞,，受影響的用戶建議盡快升級更新進行防護,。

（圖：騰訊企業(yè)級安全產(chǎn)品御點）

另外，馬勁松還建議企業(yè)應設立相關(guān)的安全監(jiān)管部門,，制定相關(guān)對應措施,，優(yōu)先使用終端殺毒軟件，增強防御方案的完整性和立體性,，在遭受攻擊時能更高效地解決問題,，把企業(yè)損失降到最低。