嗨,我是智能客服信服君!我能1秒钟解决您的问题
【首例】新型“挖矿”病毒入侵,如何避免CPU被恶意利用?
  

sangfor_闪电回_晓六 发表于 2018-4-22 15:39

近日,深信服EDR安全团队接到某企业反馈,称其内网大量服务器存在挖矿问题,且难以清理干净。经过深信服安全专家深入分析,发现这是一种新型的挖矿病毒,属全国首例,其病毒机制与常规挖矿相差很大。深信服 EDR 安全团队在持续追踪后发现了病毒入侵途径,深信服已将此病毒命名为wmixml挖矿病毒,同时制定了详细的应对措施。


病毒名称:wmixml
病毒性质:新型挖矿病毒
影响范围:已发现全国首例
危害等级:二级
查杀难度:极难

病毒简介
不同于常规挖矿病毒, wmixml 的挖矿功能体以密文文件的形式存在而不是常规的独立exe。感染主机上,会有一个加载病毒体dll,在被系统进程svchost.exe加载后,读取挖矿密文文件,在内存中解密后再将挖矿原体注入到另外一个系统进程svchost.exe中。由于解密动作发生在内存中,目前已绕过了大量杀毒引擎,达到了免杀的目的。

攻击场景
此次攻击,可谓有备而来,在绕开杀毒软件的思考上做足了功夫。

1.png

如上图,appmg.dll是加载病毒体(system32目录下),负责加载挖矿功能。wvms_dp.inf是挖矿密文数据,即其二进制是经过特殊加密处理的,不能直接被执行。由于密文文件不是pe格式等可执行文件,杀软自然扫描不出来。此外,为了保证免杀效果,又将解密后的挖矿病毒体注入到系统进程中执行。

攻击顺序如下:
  • 首先,当appmg.dll第一次被加载的时候,会注册svchost服务,后续则通过系统进程svchost.exe实现开机自启动。
    2.png
  • 其次,appmg.dll被加载后,会读取wvms_dp.inf文件数据,进行解密。






3.png

4.png

3、然后,将解密后的wvms_dp.inf数据(即挖矿二进制模块)注入到新启动的svchost.exe进程里面。

5.png
4、最后,注入成功后的系统进程svchost.exe具备了挖矿功能,从wmixml.dat中读取挖矿配置信息,进行挖矿。

6.png


溯源分析
以上是病毒的运作原理。但病毒从哪里来?深信服EDR安全团队了解获知,该企业有不少于十台的服务器中招,但我们逆向的结果显示,此挖矿病毒并不具备横向传播能力,因此初步分析是内网某台服务器被渗透(黑客攻击成功后,再利用该服务器进行内网渗透)。

与预想的一致,该企业确实有一台对外的Web服务器,而其它的服务器都处在内网环境。安全团队从此台Web服务器入手,使用深信服EDR WebShell查杀工具进行扫描,发现了大量的网页木马。

7.png

此外,分析发现,还存在一个可以远程执行任意命令的木马,由此断定此Web服务器已完全沦陷(安全团队尝试从外网对该站点进行渗透,同样发现可攻击成功)。

8.png

被渗透成功后的Web服务器上,安全团队发现了与wmixml挖矿相关的病毒体。由于该Web服务器被完全控制,黑客甚至开了一个具备系统权限的新账号SystemD,由此在内网撕开一个口子,进行任意攻击。

9.png

危害与启示
wmixml挖矿病毒的危害是显而易见的,即长期压榨受害者主机性能,为黑客默默赚外快。此外本次安全团队发现wmixml挖矿病毒在隐蔽性方面做的非常高明。一般的挖矿,通常会尽可能多的压榨受害者CPU,使之长期达到80%以上的占用率。但这个作者,却严格限制并稳定在25%的CPU占用率。

10.png

在此限制下,由于占用率不是太高,一般用户难以察觉系统已出问题。

11.png

另外,黑客深知普通挖矿程序可以被杀毒软件查杀出来。为了避免被杀,黑客对挖矿程序进行了特殊加密,并将解密后的挖矿代码注入到系统进程中(如上图仅仅只在内存中,安全团队才能观察到挖矿字符特征)。通常来说,杀软不敢轻易对系统进程下手,病毒因此有了免死金牌!

解决方案:
  • 隔离感染主机:已中毒计算机请尽快隔离,关闭所有网络连接,禁用网卡!
  • 确认感染数量:推荐使用深信服防火墙或者安全感知进行全网检测,避免病毒持续潜伏!






12.png

注:截图来源于部署深信服防火墙的真实企业环境。

3、查杀病毒:推荐使用深信服僵尸网络查杀工具(http://edr.sangfor.com.cn),深信服僵尸网络查杀工具已第一时间支持查杀此病毒。另外,深信服推荐企业用户部署深信服终端检测响应平台(EDR),对主机进行一键查杀并持续保护主机不再遭受攻击。


  • 深信服僵尸网络查杀工具安装查杀步骤如下:



第一步,打开http://edr.sangfor.com.cn网站,找到“僵尸网络查杀软件”,点击“Windows下载”。

13.png

第二步,下载的文件名为SfabAntiBot.zip,解压后运行SfAntiBot.exe文件即可直接打开僵尸网络查杀软件。
14.png

第三步,点击快速扫描按钮,即可开始扫描。

15.png
第四步,扫描结果页面,如果出现文件名为appmg.dll,点击“隔离”按钮即可。

16.png

  • 深信服终端检测响应平台(EDR)查杀步骤如下:



第一步,打开终端响应平台,选择“威胁检测”,点击“新建任务”。
17.png

第二步,选择查杀主机范围,可以选定全部或者部分主机进行查杀。

18.png

第三步,扫描结果显示病毒名为 Trojan.Win32.Miner.wmixml,在操作那里点击隔离即可。

19.png

4、修补漏洞:如果内网使用了JBoss,请确认好版本并修补相关漏洞。

5、修改密码:如果主机账号密码比较弱,建议重置高强度的密码。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

一个无趣的人 Lv17发表于 2018-4-22 21:13
  
谢谢分享。。。
feeling Lv24发表于 2018-4-23 08:17
  
赶紧查一下
爱吃黄焖鸡 Lv4发表于 2018-4-23 12:59
  
好!!!给力
新手148744 Lv4发表于 2018-4-23 15:18
  
这次挖矿是有套路的,黑客也懂不能竭泽而渔的道理~
adds Lv18发表于 2018-4-24 07:05
  
看了此文懂了两件事:
1.深信服在布局客户软件。
2.别再说自己懂安全,只会点“快速查杀”和“全盘查杀”就懂安全了?老老实实看入门攻略吧。
Zarks Lv3发表于 2018-4-24 08:38
  
厉害了 我的哥! 我这的服务器 也中了这个病毒 完全一样 ,虽然处理了下 现在 查不到 病毒的进程了 但是后续的威胁还是存在,看了此贴 给出了方向,要全面检测下 服务器群了。。。
苏州申浪客服 Lv6发表于 2018-4-24 09:16
  
看完立马分享给客户
Zarks Lv3发表于 2018-4-24 09:37
  
我找到了 appmg.dll,  wmixml 但是用SfabAntiBot 查杀 什么都没有查到。 如何处理?那两个文件是系统文件吗?能手动删除吗?
22.png
nrsheng Lv12发表于 2018-4-24 15:43
  
这挖的是什么矿呀!自己能挖不!!

×
有话想说?点这里!
可评论、可发帖

本版版主

48
19
1

发帖

粉丝

关注

本版热帖

本版达人