當前位置：

首頁 > 最新 > 亞信安全截獲利用「永恆之石」傳播的「偽裝者病毒」

亞信安全截獲利用「永恆之石」傳播的「偽裝者病毒」

最新 07-10

重大預警

近日，亞信安全截獲「偽裝者」病毒，該病毒偽裝成微軟廠商的文件，並通過「永恆之石」漏洞進行傳播。其會在內網擴散，下載挖礦程序。亞信安全將其命名為TROJ_FRS.VSN07G18。

亞信安全詳解「偽裝者病毒」技術細節

偽裝者病毒是由多個組件在內存中加密合併而成，其中包括常見的wmassrv.dll。合併前部分樣本信息:

該病毒會在C:WindowsRemoteDistribution目錄下創建Microsoft目錄，該目錄中包含大量「永恆之石」病毒的相關組件，「永恆之石」病毒利用的系統漏洞有:

Microsoft Security Bulletin MS08-067

Microsoft Security Bulletin MS10-061

Microsoft Security Bulletin MS14-068

Microsoft Security Bulletin MS17-010

該病毒在C:WindowsRemoteDistribution目錄中生成spoolsv.exe文件，刪除C:WindowsRemoteDistribution或者在該目錄下建立同名文件會阻止該現象發生，但是一旦機器重新啟動，病毒會刪除並重新建立該目錄，繼續寫入spoolsv.exe文件。spoolsv.exe文件會對內網進行arp掃描攻擊其他機器的445埠等。

通過尋找其父進程的方法我們可以定位到是由svchost進程啟動。

svchost由系統service服務啟動，結合該病毒行為，我們可以確認該病毒有自啟動行為，系統中存在自啟動項目。我們首先查看該進程的導入模塊以及線程，發現都帶有微軟廠商的標籤。

使用autoruns工具也未能找到可疑的非系統啟動項。說明可能有偽裝成系統啟動項的惡意模塊。通過反覆的查殺病毒，再生成，可以觀察出某個線程的切換次數頻率呈線性遞增。

定位到該模塊的路徑。我們發現rpcpolicymgr.dll文件不僅偽裝成微軟廠商系統文件，還對文件的時間戳進行修改，進一步的隱藏自身。

通過查看Dump系統的進程模塊信息，我們發現rpcpolicymgr.dll文件確實存在。

隨後我們通過搜索註冊表的鍵值，找到偽裝者病毒的開機自啟動項目。

該病毒具有蠕蟲行為，可以自我複製傳播:

亞信安全教你如何防範

使用安全產品對已知病毒清理完畢後，可以通過系統審核日誌的方式找到是由具體哪個svchost寫入spoolsv.exe文件。

隨後終止該父進程svchost和子進程spoolsv，並刪除C:WindowsRemoteDistribution目錄下的所有文件。

清除註冊表中含有rpcpolicymgr字元的鍵值，並刪除c:windowssystem32
pcpolicymgr.dll文件。

重新啟動後驗證是否清理乾淨。

亞信安全產品解決方案

亞信安全病毒碼版本14.363.60已經可以檢測，請用戶及時升級病毒碼版本。

亞信安全Deep Security DPI規則可有效攔截該漏洞，規則如下:

1003292 - Block Conficker.B++ Worm Incoming Named Pipe Connection

1003080 - Server Service Vulnerability (srvsvc)

1004401 - Print Spooler Service Impersonation Vulnerability

1006397 - Microsoft Windows Kerberos Checksum Vulnerability (CVE-2014-6324)

1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)

1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)

1008227 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0147)

1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)

亞信安全深度發現設備TDA檢測規則如下：

OPS_MS08-067_Server_Service_Path_Canonicalization_Exploit - CVE-2008-4250

SMB_MS10-061_Print_Spooler_Service_Impersonation_Exploit - CVE-2010-2729

MS14-068_KERBEROS_Checksum_Vulnerability - CVE-2014-6324

MS17-010-SMB_REMOTE_CODE_EXECUTION_EXPLOIT - CVE-2017-0144, CVE-2017-0145, CVE-2017-0147

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 亞信安全 的精彩文章:

※亞信安全出席2018年VMware大中華區合作夥伴領導人峰會

TAG:亞信安全 |