国内首例!深信服发现WannaMine最新变种正在集体挖矿!
  

SANGFOR_智安全 Lv6发表于 2018-5-10 14:20

国内首例与国际首例发现时间相距仅为2天,传播快速,未来很有可能感染面跟原始变种WannaMine一样惊人!

1.png


近日,国内某企业疑内网有主机受病毒感染,通过深信服终端检测平台(EDR产品)进行全网扫描后发现存在大量主机感染相同病毒。经过深信服安全专家深入分析,发现这是一种最新型的WannaMine变种。该变种基于WannaMine改造,加入了一些免杀技术,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散),深信服将其命名WannaMine2.0,同时制定了详细的应对措施。

目前,该企业为国内发现感染WannaMine2.0的首例,发现时间与国际上首例发现时间相距仅为2天,传播快速,未来很有可能感染面跟原始变种WannaMine一样惊人!

病毒分析

此次 WannaMine 2.0变种,沿用了WannaMine的精心设计,涉及的病毒模块多,感染面广。与此同时,该变种具备免杀功能,查杀难度高。一旦出现主机受感染,利用“永恒之蓝”漏洞,最终将造成局域网内大量主机都被感染并进行挖矿!

攻击场景
2.png

1.HalPluginsServices.dll是主服务,每次都能开机启动,启动后加载spoolsv.exe。
2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)。
3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)执行后,负责将EnrollCertXaml.dll从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。

WannaMine 2.0变种包含的病毒文件,主要释放在下列文件目录中:
C:\Windows\System32\EnrollCertXaml.dll
C:\Windows\SpeechsTracing\
C:\Windows\SpeechsTracing\Microsoft\

网络行为

检测到WannaMine2.0的C&C服务器为:
task.attendecr.com
scan.attendecr.com
error.attendecr.com
3.png

WannaMine 2.0 C&C服务器
局域网传播上,仍然是沿用WannaMine的机制。通过spoolsv.exe和svchost.exe配合,利用永恒之蓝漏洞进行攻击,实现病毒自我复制到目标主机上。

有别于WannaMine, 此次变种2.0删除了自更新机制,包括外网更新和局域网更新两个方面。另外,也不再创建微型Web服务端,供内网其它无法上网的主机下载更新。意味着感染主机不再做病毒更新。

攻击危害:集体挖矿

WannaMine2.0沿用WannaMine的套路,同样是瞄准了大规模的集体挖矿(利用了“永恒之蓝”漏洞的便利,使之在局域网内迅猛传播),矿池站点任然指向nicehash.comminergate.com

4.png

解决方案
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。

深信服下一代防火墙用户,可开启IPS和僵尸网络功能进行封堵,其中僵尸网络识别库请升级到20180509及以上版本。
以下是具体配置步骤:
第一步,更新僵尸网络识别库到2018/5/9版本,勾选“僵尸网络识别库”点击“立即更新”。

5.png

第二步,配置“安全防护策略”并启用,源区域选择“内网区域”,目的选择“外网区域”,防御类型勾选“漏洞攻击防护”,检测响应勾选“僵尸网络”。

6.png

第三步,按下图配置好漏洞攻击防护即可。

7.png

3、查找攻击源:手工抓包分析或借助深信服安全感知快速查找攻击源,避免更多主机持续感染。
4、查杀病毒:推荐使用深信服EDR进行病毒查杀,快速分析流行事件,实现终端威胁闭环处置响应。

8.png 9.png

截图来自部署深信服EDR产品的真实用户场景,EDR终端版本也支持查杀,下载链接:http://edr.sangfor.com.cn/

5、修补漏洞:为内网所有主机打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

咨询与服务

您可以通过以下方式联系深信服,获取关于WannaMine 2.0变种的免费咨询及支持服务:
1)拨打电话400-630-6430(转6号线进入安全专线咨询)
2)PC端访问深信服社区   bbs.sangfor.com.cn选择右侧在线咨询或智能服务,进行咨询

关于深信服智安全
专注做实用的安全,能够帮助组织更有效地检测并阻止安全威胁,降低IT业务创新过程中的各种风险,为您的网络、数据和业务提供全面保护,让每个组织的安全建设更有效、更简单。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

sangfor_闪电回_晓六 发表于 2018-5-10 14:25
  
您可以通过以下方式联系深信服,获取关于WannaMine 2.0变种的免费咨询及支持服务:
1)拨打电话400-630-6430(转6号线进入安全专线咨询)
2)PC端访问深信服社区   bbs.sangfor.com.cn,选择右侧在线咨询或智能服务,进行咨询
feeling Lv25发表于 2018-5-10 14:37
  
厉害了。。。
ztbf Lv6发表于 2018-5-11 10:47
  
学习下,准备防范。
tj_zero Lv13发表于 2018-5-11 11:50
  
病毒再次来袭,大家注意。
一骑绝尘 Lv6发表于 2018-5-11 13:45
  
感觉很牛呀,病毒最初是什么感染的?
新手565981 Lv4发表于 2018-5-12 11:08
  
病毒来袭,大家注意防范!!!
熙瑞 Lv7发表于 2018-5-14 06:10
  
朋友推荐电脑安装    火绒安全4.0   替换360安全卫士   有用过的吗,是否可行。
幼稚完完 Lv4发表于 2018-5-14 08:49
  
厉害厉害,这响应速度可以
飞猪 Lv10发表于 2018-5-14 11:50
  
2018-05-14_114926.jpg
  这是啥鬼

×
有话想说?点这里!
可评论、可发帖

本版版主

48
20
1

发帖

粉丝

关注

本版热帖

本版达人

取个名好难

本周分享达人