國內首例!深信服發現WannaMine最新變種正在集體挖礦!
近日,國內某企業疑內網有主機受病毒感染,通過深信服終端檢測平台(EDR產品)進行全網掃描後發現存在大量主機感染相同病毒。經過深信服安全專家深入分析,發現這是一種最新型的WannaMine變種。該變種基於WannaMine改造,加入了一些免殺技術,傳播機制與WannaCry勒索病毒一致(可在區域網內,通過SMB快速橫向擴散),深信服將其命名WannaMine2.0,同時制定了詳細的應對措施。
目前,該企業為國內發現感染WannaMine2.0的首例,發現時間與國際上首例發現時間相距僅為2天,傳播快速,未來很有可能感染面跟原始變種WannaMine一樣驚人!
病毒分析
此次 WannaMine 2.0變種,沿用了WannaMine的精心設計,涉及的病毒模塊多,感染面廣。與此同時,該變種具備免殺功能,查殺難度高。一旦出現主機受感染,利用「永恆之藍」漏洞,最終將造成區域網內大量主機都被感染並進行挖礦!
01
攻擊場景
1.HalPluginsServices.dll是主服務,每次都能開機啟動,啟動後載入spoolsv.exe。
2.spoolsv.exe對區域網進行445埠掃描,確定可攻擊的內網主機。同時啟動漏洞攻擊程序svchost.exe和spoolsv.exe(另外一個病毒文件)。
3.svchost.exe執行「永恆之藍」漏洞溢出攻擊(目的IP由第2步確認),成功後spoolsv.exe(NSA黑客工具包DoublePulsar後門)安裝後門,載入payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)執行後,負責將EnrollCertXaml.dll從本地複製到目的IP主機,再解壓該文件,註冊srv主服務,啟動spoolsv執行攻擊(每感染一台,都重複步驟1、2、3、4)。
WannaMine 2.0變種包含的病毒文件,主要釋放在下列文件目錄中:
C:WindowsSystem32EnrollCertXaml.dll
C:WindowsSpeechsTracing
C:WindowsSpeechsTracingMicrosoft
02
網路行為
檢測到WannaMine2.0的C&C伺服器為:
WannaMine 2.0 C&C伺服器
區域網傳播上,仍然是沿用WannaMine的機制。通過spoolsv.exe和svchost.exe配合,利用永恆之藍漏洞進行攻擊,實現病毒自我複製到目標主機上。
有別於WannaMine, 此次變種2.0刪除了自更新機制,包括外網更新和區域網更新兩個方面。另外,也不再創建微型Web服務端,供內網其它無法上網的主機下載更新。意味著感染主機不再做病毒更新。
03
攻擊危害:集體挖礦
WannaMine2.0沿用WannaMine的套路,同樣是瞄準了大規模的集體挖礦(利用了「永恆之藍」漏洞的便利,使之在區域網內迅猛傳播),礦池站點任然指向nicehash.com、minergate.com。
解決方案
1、隔離感染主機:已中毒計算機儘快隔離,關閉所有網路連接,禁用網卡。
2、切斷傳播途徑:關閉潛在終端的SMB 445等網路共享埠,關閉異常的外聯訪問。深信服下一代防火牆用戶,可開啟IPS和殭屍網路功能進行封堵,其中殭屍網路識別庫請升級到20180509及以上版本。
3、查找攻擊源:手工抓包分析或藉助深信服安全感知快速查找攻擊源,避免更多主機持續感染。
4、查殺病毒:推薦使用深信服EDR進行病毒查殺,快速分析流行事件,實現終端威脅閉環處置響應。
截圖來自部署深信服EDR產品的真實用戶場景
5、修補漏洞:為內網所有主機打上「永恆之藍」漏洞補丁,請到微軟官網,下載對應的漏洞補丁:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
關於深信服智安全
專註做實用的安全,能夠幫助組織更有效地檢測並阻止安全威脅,降低IT業務創新過程中的各種風險,為您的網路、數據和業務提供全面保護,讓每個組織的安全建設更有效、更簡單。
※助力公安信息化,深信服雲安全資源池榮獲「智慧公安最佳實踐獎」!
TAG:深信服科技 |