×

多款病毒变种利用永恒之蓝再次席卷而来!
  

SANGFOR_智安全 11199

{{ttag.title}}
近期,多款热门病毒变种正在利用永恒之蓝漏洞进行蔓延,威胁程度达到高危,影响范围广泛。某公司紧急预警,提醒广大用户做好安全防护措施!

病毒分析
近期出现的利用永恒之蓝漏洞的多款病毒包括:Satan勒索病毒变种、WannaMine挖矿变种、PowershellMiner无文件挖矿变种以及WannaCry勒索2.0蓝屏变种。

01Satan勒索变种
用户一旦遭受Satan勒索变种攻击,重要文档和数据库文件均可能被加密,并被勒索0.3个比特币。Satan勒索变种攻击过程如下:

其中:
1.st.exe是母体,执行后会下载ms.exe和Client.exe。
2.ms.exe是一个自解压文件,包含的blue.exe和star.exe执行永恒之蓝漏洞攻击。
3.一旦攻击成功后,star.exe加载payload(down64.dll),负责下载并运行st.exe。
4.Client.exe是Satan勒索病毒,执行文件加密操作,并弹出勒索信息。
5.每感染一台后,都会重复执行1、2、3、4步骤,在局域网进行扩散。

02WannaMine挖矿变种
WannaMine挖矿变种会造成用户服务器和PC异常卡顿,消耗主机大量CPU资源。其攻击过程如下:
1.srv是主服务,每次都会进行开机启动,启动后加载spoolsv。
2.spoolsv对局域网进行445端口扫描,确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程序svchost.exe和spoolsv.exe。
3.svchost.exe执行永恒之蓝漏洞溢出攻击(目的IP由步骤2确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)执行后,负责将MsraReportDataCache32.tlb从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行攻击。
5.每感染一台,都重复步骤1、2、3、4,在内网扩散。

03PowershellMiner无文件挖矿变种
PowershellMiner挖矿变种没有本地恶意文件,用户难以发觉,往往能够消耗主机90.0%以上CPU资源,造成主机性能异常卡顿。其攻击顺序如下:
1.首先,挖矿模块启动,持续进行挖矿。
2.其次,Minikatz模块对目的主机进行SMB爆破,获取NTLMv2数据。
3.然后,WMIExec使用NTLMv2绕过哈希认证,进行远程执行操作,成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来,流程结束。
4.最后,如果WMIExec攻击失败,则尝试使用MS17-010永恒之蓝漏洞攻击,成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来。
5.每感染一台主机,都重复步骤1、2、3、4,在内网进行扩散。

04WannaCry勒索2.0蓝屏变种
该勒索变种并不会勒索成功,但由于漏洞利用不当,常常导致主机蓝屏崩溃。在服务器场景下,对企业业务影响极大。
此变种是WannaCry的2.0版本,2018年仍然十分活跃。之前的版本会释放勒索程序对主机进行勒索,但此变种的勒索程序在主流Windows平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该病毒,病毒会互相之间进行永恒之蓝漏洞攻击,该漏洞的利用使用堆喷射技术,该技术漏洞利用并不稳定,有小概率出现漏洞利用失败,在利用失败的情况下,会出现被攻击主机蓝屏的现象。

某公司应对建议
针对广大用户,建议进行日常防范措施:
1.不要点击来源不明的邮件附件,不从不明网站下载软件;
2.及时给主机打上永恒之蓝漏洞补丁,修复此漏洞;
3.对重要的数据文件定期进行非本地备份;
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。

针对使用某公司产品的用户,某公司紧急响应,第一时间为用户提供解决方案:

1.某公司下一代防火墙已支持阻断针对永恒之蓝漏洞的各种热门攻击。下一代防火墙用户升级僵尸网络识别库到20180407及以上版本,升级病毒库到20180406及以上版本即可。

2.某公司安全感知产品的用户,可直接探测永恒之蓝漏洞攻击的移动情况和内网安全状况。


3.某公司终端检测响应平台(EDR)提供端点防护和病毒清理功能,EDR的用户可以直接有效地清除相关病毒。

4.使用某公司立体防护解决方案的用户无需担心,通过某公司下一代防火墙+安全感知+EDR,三者相互联动响应,实现边界到终端的完整防护、检测和响应,有效应对永恒之蓝漏洞攻击。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

marco 发表于 2018-4-8 14:46
  
感谢楼主分享。
feeling 发表于 2018-4-8 15:29
  
不错,注意安全
78465 发表于 2018-4-8 15:51
  
通过某公司下一代防火墙+安全感知+EDR,三者相互联动响应,实现边界到终端的完整防护、检测和响应,有效应对永恒之蓝漏洞攻击。
新手669092 发表于 2018-4-8 16:10
  
某公司应对建议
针对广大用户,建议进行日常防范措施:
1.不要点击来源不明的邮件附件,不从不明网站下载软件;
2.及时给主机打上永恒之蓝漏洞补丁,修复此漏洞;
3.对重要的数据文件定期进行非本地备份;
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。
新手978622 发表于 2018-4-10 10:48
  
谢谢楼主再次提醒。

安全第一。
誓言落寞了年华 发表于 2018-4-10 11:40
  
感谢提醒  安全第一
yl2352 发表于 2018-4-11 09:54
  
谢谢楼主提醒
林志斌 发表于 2018-4-11 10:20
  
楼主整理的很好啊  学习了!
小鱼笨笨 发表于 2018-4-11 16:28
  
楼主说的很全面,学习了!
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
【 社区to talk】
新版本体验
技术笔记
产品连连看
功能体验
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
自助服务平台操作指引
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人