WannaMine蠕蟲病毒進一步侵食著大公司的系統

雖然WannaCry和其他一些的病毒軟體的運作機制早已被曝光，但門羅幣挖掘蠕蟲卻能使用與之相同的機制持續對企業系統造成損害。

Wannacry是一種基於文件加密的勒索軟體，美國將此病毒軟體的根源歸咎於朝鮮。在2017年5月，Wannacry的爆發讓眾人明白了修補Windows操作系統漏洞的重要性和緊迫性，這些漏洞當時也已被美國國家安全局所披露，Wannacry使用了一種名為「永恆之藍」的漏洞，利用Windows的伺服器信息塊（SMB）網路文件共享協議在網路中移動，快速傳播的同時能對網路造成嚴重破壞。

緊接著，WannaCry使用的核心漏洞被其他惡意軟體創造者所利用，這些惡意軟體包括一個月後影響全世界公司的NotPetya，以及甚至在WannaCry爆發之前就開始傳播的加密貨幣挖掘蠕蟲Adylkuzz，還有一些其他的加密貨幣挖掘蠕蟲，比如WannaMine——一種無文件的、基於全PowerShell的門羅幣挖掘惡意軟體。研究人員自去年10月起就一直在跟蹤它，許多感染過該病毒的伺服器已經公示了出來，其中一些伺服器的已經被關停了。

但一年後，WannaMine仍在傳播。Cybereason安全研究負責人Amit Serper不久前剛公布了WannaMine攻擊其公司某個客戶後的調查結果，該客戶是世界五百強企業，此次攻擊事件對該企業造成了極其惡劣的影響。Serper在調查了該企業的SMB伺服器後發現，該伺服器從未安裝過相應補丁，WannaMine影響了幾十個域控制器和約2000個端點。

Serper在調查結果中寫道，

WannaMine從某些角度上看是「無文件的」。它能使用從遠程伺服器提取的PowerShell腳本在計算機上建立據點並運行其所有組件，但WannaMine也不是純粹的無文件——建立其據點的PowerShell腳本會下載一個全是base64編碼文本的大型文件。在實際當中，由於所有模糊處理的影響，會使下載量變得極為巨大，致使大多數文本編輯器被掛起，並且很難將整個base64"d字元串載入到互動式ipython會話中。

這個大型文件里包含了許多PowerShell代碼，包括直接從GitHub存儲庫複製的信用竊取工具Mimikatz的PowerShell版本。除此之外還有一個龐大的二進位對象（一個Windows .NET編譯器），惡意軟體用其來編譯PingCastle網路掃描工具的動態鏈接庫版本，並用於定位網路上其他易受攻擊的潛在目標，接著利用獲取到的憑據和網路數據去試圖連接到其他計算機，在其上安裝惡意軟體副本。由於DLL的名稱被隨機賦予，因此它在每個受感染的系統上都是不同的。

WannaMine具有十分強大的侵略能力。它使用Windows管理規範來檢測32位或64位系統並選擇要下載的有效負載版本。它能將自身偽裝為計划進程，這樣在系統關閉後它也仍然存在，並且它會更改受感染計算機的電源管理設置，以確保計算機不會進入休眠狀態，其挖掘活動也不會中斷。它還能關閉所有與互聯網協議埠連接的加密貨幣-採礦池（3333,5555和7777）進程，然後運行自己的基於PowerShell的礦工，連接到14444埠的採礦池。

可能最讓人感到惱火的是，之前傳播WannaMine的伺服器中，有些還沒有被關停。Serper聯繫了地址中能識別的所有託管服務提供商，但目前還沒有得到回應。這些命令和控制伺服器是：

118.184.48.95，上海網路技術股份有限公司管理。

104.148.42.153和107.179.67.243，均由洛杉磯的DDoS緩解託管公司Global Frag Servers管理（不過該公司似乎也是中國的網路運營商）。

172.247.116.8和172.247.166.87，均由CloudRadium L.L.C.管理，該公司的電話號碼已無法打通，位於洛杉磯的地址由許多其他託管供應商所共享。

45.199.154.141，由CloudInnovation在美國管理，說是其總部設在南非，但在其網路註冊中提供的是塞席爾的地址。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！