【首例】新型“挖矿”病毒入侵,如何避免CPU被恶意利用?
  

sangfor_闪电回_晓六 14236

{{ttag.title}}

近日,某公司EDR安全团队接到某企业反馈,称其内网大量服务器存在挖矿问题,且难以清理干净。经过某公司安全专家深入分析,发现这是一种新型的挖矿病毒,属全国首例,其病毒机制与常规挖矿相差很大。某公司 EDR 安全团队在持续追踪后发现了病毒入侵途径,某公司已将此病毒命名为wmixml挖矿病毒,同时制定了详细的应对措施。


病毒名称:wmixml
病毒性质:新型挖矿病毒
影响范围:已发现全国首例
危害等级:二级
查杀难度:极难

病毒简介
不同于常规挖矿病毒, wmixml 的挖矿功能体以密文文件的形式存在而不是常规的独立exe。感染主机上,会有一个加载病毒体dll,在被系统进程svchost.exe加载后,读取挖矿密文文件,在内存中解密后再将挖矿原体注入到另外一个系统进程svchost.exe中。由于解密动作发生在内存中,目前已绕过了大量杀毒引擎,达到了免杀的目的。

攻击场景
此次攻击,可谓有备而来,在绕开杀毒软件的思考上做足了功夫。


如上图,appmg.dll是加载病毒体(system32目录下),负责加载挖矿功能。wvms_dp.inf是挖矿密文数据,即其二进制是经过特殊加密处理的,不能直接被执行。由于密文文件不是pe格式等可执行文件,杀软自然扫描不出来。此外,为了保证免杀效果,又将解密后的挖矿病毒体注入到系统进程中执行。

攻击顺序如下:
  • 首先,当appmg.dll第一次被加载的时候,会注册svchost服务,后续则通过系统进程svchost.exe实现开机自启动。
  • 其次,appmg.dll被加载后,会读取wvms_dp.inf文件数据,进行解密。








3、然后,将解密后的wvms_dp.inf数据(即挖矿二进制模块)注入到新启动的svchost.exe进程里面。

4、最后,注入成功后的系统进程svchost.exe具备了挖矿功能,从wmixml.dat中读取挖矿配置信息,进行挖矿。



溯源分析
以上是病毒的运作原理。但病毒从哪里来?某公司EDR安全团队了解获知,该企业有不少于十台的服务器中招,但我们逆向的结果显示,此挖矿病毒并不具备横向传播能力,因此初步分析是内网某台服务器被渗透(黑客攻击成功后,再利用该服务器进行内网渗透)。

与预想的一致,该企业确实有一台对外的Web服务器,而其它的服务器都处在内网环境。安全团队从此台Web服务器入手,使用某公司EDR WebShell查杀工具进行扫描,发现了大量的网页木马。


此外,分析发现,还存在一个可以远程执行任意命令的木马,由此断定此Web服务器已完全沦陷(安全团队尝试从外网对该站点进行渗透,同样发现可攻击成功)。


被渗透成功后的Web服务器上,安全团队发现了与wmixml挖矿相关的病毒体。由于该Web服务器被完全控制,黑客甚至开了一个具备系统权限的新账号SystemD,由此在内网撕开一个口子,进行任意攻击。


危害与启示
wmixml挖矿病毒的危害是显而易见的,即长期压榨受害者主机性能,为黑客默默赚外快。此外本次安全团队发现wmixml挖矿病毒在隐蔽性方面做的非常高明。一般的挖矿,通常会尽可能多的压榨受害者CPU,使之长期达到80%以上的占用率。但这个作者,却严格限制并稳定在25%的CPU占用率。


在此限制下,由于占用率不是太高,一般用户难以察觉系统已出问题。


另外,黑客深知普通挖矿程序可以被杀毒软件查杀出来。为了避免被杀,黑客对挖矿程序进行了特殊加密,并将解密后的挖矿代码注入到系统进程中(如上图仅仅只在内存中,安全团队才能观察到挖矿字符特征)。通常来说,杀软不敢轻易对系统进程下手,病毒因此有了免死金牌!

解决方案:
  • 隔离感染主机:已中毒计算机请尽快隔离,关闭所有网络连接,禁用网卡!
  • 确认感染数量:推荐使用某公司防火墙或者安全感知进行全网检测,避免病毒持续潜伏!







注:截图来源于部署某公司防火墙的真实企业环境。

3、查杀病毒:推荐使用某公司僵尸网络查杀工具(http://edr.sangfor.com.cn),某公司僵尸网络查杀工具已第一时间支持查杀此病毒。另外,某公司推荐企业用户部署某公司终端检测响应平台(EDR),对主机进行一键查杀并持续保护主机不再遭受攻击。


  • 某公司僵尸网络查杀工具安装查杀步骤如下:



第一步,打开http://edr.sangfor.com.cn网站,找到“僵尸网络查杀软件”,点击“Windows下载”。


第二步,下载的文件名为SfabAntiBot.zip,解压后运行SfAntiBot.exe文件即可直接打开僵尸网络查杀软件。

第三步,点击快速扫描按钮,即可开始扫描。

第四步,扫描结果页面,如果出现文件名为appmg.dll,点击“隔离”按钮即可。


  • 某公司终端检测响应平台(EDR)查杀步骤如下:



第一步,打开终端响应平台,选择“威胁检测”,点击“新建任务”。

第二步,选择查杀主机范围,可以选定全部或者部分主机进行查杀。


第三步,扫描结果显示病毒名为 Trojan.Win32.Miner.wmixml,在操作那里点击隔离即可。


4、修补漏洞:如果内网使用了JBoss,请确认好版本并修补相关漏洞。

5、修改密码:如果主机账号密码比较弱,建议重置高强度的密码。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

一个无趣的人 发表于 2018-4-22 21:13
  
谢谢分享。。。
feeling 发表于 2018-4-23 08:17
  
赶紧查一下
爱吃黄焖鸡 发表于 2018-4-23 12:59
  
好!!!给力
新手148744 发表于 2018-4-23 15:18
  
这次挖矿是有套路的,黑客也懂不能竭泽而渔的道理~
adds 发表于 2018-4-24 07:05
  
看了此文懂了两件事:
1.某公司在布局客户软件。
2.别再说自己懂安全,只会点“快速查杀”和“全盘查杀”就懂安全了?老老实实看入门攻略吧。
Zarks 发表于 2018-4-24 08:38
  
厉害了 我的哥! 我这的服务器 也中了这个病毒 完全一样 ,虽然处理了下 现在 查不到 病毒的进程了 但是后续的威胁还是存在,看了此贴 给出了方向,要全面检测下 服务器群了。。。
苏州申浪客服 发表于 2018-4-24 09:16
  
看完立马分享给客户
Zarks 发表于 2018-4-24 09:37
  
我找到了 appmg.dll,  wmixml 但是用SfabAntiBot 查杀 什么都没有查到。 如何处理?那两个文件是系统文件吗?能手动删除吗?

22.png (87.73 KB, 下载次数: 331)

22.png
nrsheng 发表于 2018-4-24 15:43
  
这挖的是什么矿呀!自己能挖不!!
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
安全效果
干货满满
西北区每日一问
技术笔记
新版本体验
功能体验
【 社区to talk】
技术咨询
标准化排查
2023技术争霸赛专题
产品连连看
GIF动图学习
信服课堂视频
每周精选
自助服务平台操作指引
秒懂零信任
技术晨报
技术圆桌
通用技术
答题自测
安装部署配置
每日一记
原创分享
玩转零信任
场景专题
升级&主动服务
社区新周刊
畅聊IT
专家问答
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
故障笔记
排障那些事
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

217
288
151

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人