國內首例！深信服發現WannaMine最新變種正在集體挖礦！

近日，國內某企業疑內網有主機受病毒感染，通過深信服終端檢測平台（EDR產品）進行全網掃描後發現存在大量主機感染相同病毒。經過深信服安全專家深入分析，發現這是一種最新型的WannaMine變種。該變種基於WannaMine改造，加入了一些免殺技術，傳播機制與WannaCry勒索病毒一致（可在區域網內，通過SMB快速橫向擴散），深信服將其命名WannaMine2.0，同時制定了詳細的應對措施。

目前，該企業為國內發現感染WannaMine2.0的首例，發現時間與國際上首例發現時間相距僅為2天，傳播快速，未來很有可能感染面跟原始變種WannaMine一樣驚人！

病毒分析

此次 WannaMine 2.0變種，沿用了WannaMine的精心設計，涉及的病毒模塊多，感染面廣。與此同時，該變種具備免殺功能，查殺難度高。一旦出現主機受感染，利用「永恆之藍」漏洞，最終將造成區域網內大量主機都被感染並進行挖礦！

01

攻擊場景

1.HalPluginsServices.dll是主服務，每次都能開機啟動，啟動後載入spoolsv.exe。

2.spoolsv.exe對區域網進行445埠掃描，確定可攻擊的內網主機。同時啟動漏洞攻擊程序svchost.exe和spoolsv.exe（另外一個病毒文件）。

3.svchost.exe執行「永恆之藍」漏洞溢出攻擊（目的IP由第2步確認），成功後spoolsv.exe(NSA黑客工具包DoublePulsar後門）安裝後門，載入payload（x86.dll/x64.dll）。

4.payload（x86.dll/x64.dll）執行後，負責將EnrollCertXaml.dll從本地複製到目的IP主機，再解壓該文件，註冊srv主服務，啟動spoolsv執行攻擊（每感染一台，都重複步驟1、2、3、4）。

WannaMine 2.0變種包含的病毒文件，主要釋放在下列文件目錄中：

C:WindowsSystem32EnrollCertXaml.dll

C:WindowsSpeechsTracing

C:WindowsSpeechsTracingMicrosoft

02

網路行為

檢測到WannaMine2.0的C&C伺服器為：

WannaMine 2.0 C&C伺服器

區域網傳播上，仍然是沿用WannaMine的機制。通過spoolsv.exe和svchost.exe配合，利用永恆之藍漏洞進行攻擊，實現病毒自我複製到目標主機上。

有別於WannaMine, 此次變種2.0刪除了自更新機制，包括外網更新和區域網更新兩個方面。另外，也不再創建微型Web服務端，供內網其它無法上網的主機下載更新。意味著感染主機不再做病毒更新。

03

攻擊危害：集體挖礦

WannaMine2.0沿用WannaMine的套路，同樣是瞄準了大規模的集體挖礦（利用了「永恆之藍」漏洞的便利，使之在區域網內迅猛傳播），礦池站點任然指向nicehash.com、minergate.com。

解決方案

1、隔離感染主機：已中毒計算機儘快隔離，關閉所有網路連接，禁用網卡。

2、切斷傳播途徑：關閉潛在終端的SMB 445等網路共享埠，關閉異常的外聯訪問。深信服下一代防火牆用戶，可開啟IPS和殭屍網路功能進行封堵，其中殭屍網路識別庫請升級到20180509及以上版本。

3、查找攻擊源：手工抓包分析或藉助深信服安全感知快速查找攻擊源，避免更多主機持續感染。

4、查殺病毒：推薦使用深信服EDR進行病毒查殺，快速分析流行事件，實現終端威脅閉環處置響應。

截圖來自部署深信服EDR產品的真實用戶場景

5、修補漏洞：為內網所有主機打上「永恆之藍」漏洞補丁，請到微軟官網，下載對應的漏洞補丁：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

關於深信服智安全

專註做實用的安全，能夠幫助組織更有效地檢測並阻止安全威脅，降低IT業務創新過程中的各種風險，為您的網路、數據和業務提供全面保護，讓每個組織的安全建設更有效、更簡單。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！