【病毒预警】WannaMine 3.0变种来袭,警惕中招!
  

SANGFOR_智安全 13061

{{ttag.title}}

近日,多家企业反馈大量PC和服务器存在卡顿和蓝屏现象,通过某公司终端检测平台(EDR产品)进行全网扫描后发现感染相同病毒。经过某公司安全专家深入分析,发现这是一种最新型的WannaMine变种。由于之前已有WannaMine1.0和WannaMine2.0版本,我们将其命名为WannaMine3.0。


目前短时间内已有多家医院先后中招,传播速度惊人!未来,感染面很可能与原始变种WannaMine1.0和WannaMine2.0一样大!

病毒名称:WannaMine 3.0

病毒性质:挖矿病毒

影响范围:短时间内已有多家医院先后中招

危害等级:高危

传播方式:传播机制与WannaCry勒索病毒一致,可在局域网内,通过SMB快速横向扩散。


病毒分析

此病毒变种,是基于WannaMine改造,加入了一些免杀技术,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散)。

通过对捕获的样本进行分析,发现其接入站点已变更为codidled.com。经查验,这是一个2018年11月11日刚申请注册的域名,也就是说,黑客重新编译WannaMine3.0的时间锁定为2018年11月11日或以后。


01攻击场景

此次攻击,沿用了WannaMine1.0和WannaMine2.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。

所不同的是,原始“压缩包”已经变为MarsTraceDiagnostics.xml,其含有所需要的所有攻击组件。原始WannaMine版本的压缩包可以直接解压,但此变种做了免杀,MarsTraceDiagnostics.xml是一个特殊的数据包,需要病毒自己才能分离出各个组件。其组件有spoolsv.exe、snmpstorsrv.dll等病毒文件,此外,还有“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。

其攻击顺序为:

1.主服务为snmpstorsrv,对应动态库为snmpstorsrv.dll(由系统进程svchost.exe加载),每次都能开机启动,启动后加载spoolsv.exe。

2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)。

3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。

4.payload(x86.dll/x64.dll)执行后,负责将MarsTraceDiagnostics.xml从本地复制到目的IP主机,再解压该文件,注册snmpstorsrv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。

WannaMine 3.0变种包含的病毒文件,主要释放在下列文件目录中:

C:\Windows\System32\MarsTraceDiagnostics.xml

C:\Windows\AppDiagnostics\


02清理早期WannaMine版本

WannaMine3.0特意做了清理早期WannaMine版本的动作,包括删除或者停掉WannaMine1.0和WannaMine2.0相关的文件、服务和计划任务等。

清理掉之前WannaMine版本的病毒样本,如下图所示:


停掉wmassrv服务:


删除UPnPHostServices计划任务,如下所示:



删除EnrollCertXaml.dll,如下所示:

结束永恒之蓝攻击程序以及挖矿程序进程,并删除相应的文件,如下所示:

相应的进程文件如下:

C:\Windows\SpeechsTracing\spoolsv.exe

C:\Windows\System32\TasksHostServices.exe

C:\Windows\SpeechsTracing\Microsoft\svchost.exe

C:\Windows\SpeechsTracing\Microsoft\spoolsv.exe


删除之前wmassrv.dll文件:


遍历之前版本目录下的文件,并删除。相应的目录为:

C:\Windows\SpeechsTracing\

C:\Windows\SpeechsTracing\Microsoft\

卸载之前的挖矿模块HalPluginsServices.dll:


结束rundll32.exe进程,并删除相应挖矿的文件。


03挖矿

WannaMine3.0沿用WannaMine1.0和WannaMine2.0的套路,同样是瞄准了大规模的集体挖矿(利用了“永恒之蓝”漏洞的便利,迅速使之在局域网内迅猛传播),挖矿主体病毒文件为TrustedHostex.exe。


其连入地址为codidled.com:


解决方案

某公司提醒广大用户尽快做好病毒检测与防御措施,防范此次WannaMine 3.0攻击。


病毒检测查杀

1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。



2、某公司EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。其中EDR产品,采用某公司SAVE智能安全检测引擎,通过人工智能自主学习自动识别未知威胁,无需任何升级即可自主检测查杀该最新变种。



病毒防御

1、及时给电脑打补丁,修复永恒之蓝漏洞。永恒之蓝漏洞补丁下载地址:https://technet.microsoft.com/zh ... urity/ms17-010.aspx

2、不要点击来源不明的邮件附件,不从不明网站下载软件。

3、尽量关闭不必要的文件共享权限。

4、某公司下一代防火墙客户,建议升级到AF805版本,并开启智能安全检测引擎SAVE,以达到最好的防御效果。



咨询与服务


您可以通过以下方式联系我们,获取关于

WannaMine病毒的免费咨询及支持服务:

1)拨打电话400-630-6430转6号线(已开通病毒专线)

2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询

3)PC端访问某公司社区,选择右侧智能客服,进行咨询;

打赏鼓励作者,期待更多好文!

打赏
9人已打赏

yusho 发表于 2018-11-26 08:12
  
工具先收藏了,看看有没有中招
法律框架 发表于 2018-11-26 08:26
  
工具先收藏了,看看有没有中招
念友真爱 发表于 2018-11-26 08:46
  
补丁链接无法下载,自动跳转别的链接了。
念友真爱 发表于 2018-11-26 08:48
  
用某雷也不能下载补丁。

不能下载.png (27.91 KB, 下载次数: 469)

不能下载.png
sailyang 发表于 2018-12-4 10:23
  

学习、学习、感谢分享
yl2352 发表于 2019-1-14 00:37
  
学习学习
蓝海 发表于 2019-2-14 09:11
  
感谢分享,学习了
蓝海 发表于 2019-2-22 13:09
  
牛人大咖呀!佩服佩服!
新手738515 发表于 2019-3-3 21:58
  
牛人啊,学习了!
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
【 社区to talk】
新版本体验
技术笔记
功能体验
技术咨询
产品连连看
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
自助服务平台操作指引
信服课堂视频
秒懂零信任
技术晨报
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

217
288
151

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人