警惕!!WannaMine来了

阅读 1149  ·  发布日期 2019-03-20 10:37:01  · 

    近两个月时间,我们公司接到大量的客户反馈,其服务器发现不同程度的中毒现象,内网主机也出现了大面积的蓝屏和卡顿,给他们造成了重大损失。我司在接到反馈后,第一时间赶赴客户现场,联合安全厂商进行了持续跟踪分析,发现这是利用“永恒之蓝”漏洞的新玩法,其最终目的不仅仅是勒索,而是长期潜伏挖矿,默默地赚外快。威胁程度也达到了高危,影响范围广,传播机制与2017年大规模发生的WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散),故被命名WannaMine。

同时,美国电信巨头Verizon于上周二在其2018年数据泄露调查报告(DBIR)中称,勒索软件攻击事件数量在过去一年中翻了一倍。距WannaCry勒索病毒大规模爆发已经过去了整整一年,WannaCry后,勒索病毒大家族中的小分支不断滋长蔓延,新型变种不断涌现,从2017年5月至2018年4月,近500万台电脑遭受攻击,勒索病毒俨然成为威胁互联网安全的一大毒瘤。

此次攻击,是经过精心设计的,涉及的病毒模块多,感染面广,关系复杂,如下图:

 


压缩包MsraReportDataCache32.tlb含有所需要的所有攻击组件,其目录下有hash、spoolsv、srv等病毒文件,此外,子压缩包crypt有“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll、x64.dll等)。

其中

hash/hash64:为32位/64位挖矿程序,会被重命名为TrueServiceHost.exe。

spoolsv/spoolsv64:为32位/64位攻击母体,会被重命名为spoolsv.exe。

srv/srv64:为32位/64位为主服务,攻击入口点,会被重命名为tpmagentservice.dll。

本文所述病毒文件,释放在下列文件目录中

C:\Windows\System32\MsraReportDataCache32.tlbC:\Windows\SecureBootThemes\C:\Windows\SecureBootThemes\Microsoft\C:\Windows\SecureBootThemes\Crypt\

攻击顺序:

1.srv是主服务,每次都能开机启动,启动后加载spoolsv。

2.spoolsv对局域网进行445端口扫描,确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程序svchost.exe和spoolsv.exe。

3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll、x64.dll)。

4.payload(x86.dll、x64.dll)执行后,负责将MsraReportDataCache32.tlb从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。


此次攻击,病毒本身做了很健壮的自更新机制,包括外网更新和局域网更新两个方面。病毒自更新主要是获取新的压缩包MsraReportDataCache32.tlb。

只要局域网内有一台感染主机可以上网,则该主机可以从公网上下载到最新的MsraReportDataCache32.tlb,并解压自更新(外网更新)。

然后,该主机可以创建微型Web服务端,供内网其它无法上网的主机下载更新(局域网更新)。

这样的一个更新机制,保障了全网都能及时更新到最新的病毒变种,且在主服务没有被删除的情况下,即使其它病毒文件被删除,很快又可以重新下载生成!极大保障了此僵尸网络的健壮性。


解决方案

1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。

3、查找攻击源:手工抓包分析或借助态势感知类产品分析。

4、查杀病毒:推荐使用深信服EDR工具进行查杀。

5、修补漏洞:打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。


针对广大用户,建议进行日常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件;

2.及时给主机打上永恒之蓝漏洞补丁,修复此漏洞;

3.对重要的数据文件定期进行非本地备份;

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。

5.一旦发现内网主机存在大量蓝屏或卡顿现像,及时联系我们进行跟踪分析,利用综合检测及防范措施,避免感染更大的范围,造成更大的损失。