|
一.病毒分析 我们分析下wannamine3.0的攻击场景,沿用了1.0和2.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。
主要的病毒压缩包变为了MarsTraceDiagnostics.xml,包含所有的攻击组件,其组件有spoolsv.exe,snmpstorsv.dll,此外还有永恒之蓝漏洞攻击工具(svchost.exe,spoolsv.exe,x86.dll/x64.dll等)病毒文件释放在以下目录中 C:\Windows\System32\MarsTraceDiagnostics.xml C:\Windows\AppDiagnostics\ C:\Windows\System32\TrustedHostex.exe 攻击的顺序 1.由主服务snmpstorsv,对应的动态库文件snmpstorsv.dll(由系统svchost.exe加载),每次开机自启动,启动后加载spoolsv.exe 2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)。 3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。 4.payload(x86.dll/x64.dll)执行后,负责将MarsTraceDiagnostics.xml从本地复制到目的IP主机,再解压该文件,注册snmpstorsrv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。 二.病毒处置 1.首先把应急工具包放在中毒的服务器上,然后通过processhacker进程分析那个pid在对外进行445扫描或者用netstat-anbo |findstr “445”也可以记录pid 2.然后进入C:\Windows\AppDiagnostics\目录下看到这些dll文件,已经可以断定中了wannamine3.0病毒了,因为直接删除这个appdiagnostics肯定会报错,因为有进程调用到这个文件夹里面的模块了,所以我们首先要找到病毒的进程,然后干掉,通过processhacker来kill病毒的进程 3. 从下图中可以看到这个pid为107200的svchost.exe进程以syn_sent请求连接扫描445端口 4. 可以看到进程号pid为107200的svchost,下面还拉起了cmd,而cmd下面拉起了AppDiagnostics目录下的svchost.exe,所以现在要把svchost这个107200进程结束,以及pid为896的父进程结束掉 5.而这个父进程svchost.exe(pid896)是由snmpstorsrv这个主服务调用snmpstorsv.dll文件拉起来的,所以我们要结束父进程 6. 删除snmpstorsv服务,删除snmpstorsv.dll文件 7.如果没有删除这个文件,系统又会自动创建snmpstorsv服务,然后服务又会拉起svchost.exe,所以在停止服务后,要把snmpstorsv.dll,MarsTraceDiagnostics.xml,C:\Windows\AppDiagnostics\的文件全部删除 8.清除完了文件,然后服务也删除,进程结束后,通过netstat和processhacker没有发现有扫描的445端口的进程了 9.最重要的不要忘记打补丁,如果你清除完了病毒没有及时打补丁,就会发生重复感染的现象,又会被其他病毒主机感染 10.最后用edr单机版全盘扫描下,看系统是否存在其他的病毒文件
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2020-4-28 16:26
发表于 2020-4-23 15:24
技术员3级 
