×

WannaMine升级到V4.0版本,警惕中招!
  

SANGFOR_智安全 12062

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-3-22 10:16 编辑

近日,多个企业反馈大量主机和服务器存在卡顿和蓝屏现象,某公司安全团队研究发现,该企业用户中的是最新型的WannaMine变种,之前有WannaMine1.0、WannaMine2.0、WannaMine3.0版本。

    此病毒变种是基于WannaMine3.0改造,又加入了一些新的免杀技术,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散),故某公司安全团队将其命名为WannaMine4.0。

    此变种是国内外发现的首例新型WannaMine4.0变种,国内安全厂商还没有相关报道。某公司安全团队对捕获的样本进行分析,发现其接入站点已变更为totonm.com。经查验,这是一个2019年3月17日刚申请注册的域名。




病毒编译时间为2019年3月18日,也就是说17号注册域名,18号编译好病毒样本,就开始进行传播了,某公司安全团队在20号国内首家发现此新型变种。


  
    近日,多家医院先后中招,我们对其传播速度深感惊讶!预计在未来一段时间内感染面也会跟原始变种WannaMine1.0、WannaMine2.0、WannaMine3.0一样惊人!


0x01 攻击场景


    此次攻击,沿用了WannaMine3.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。




    有所不同的是,原始“压缩包”已经变为rdpkax.xsl,其含有所需要的所有攻击组件。此变种与之前3.0版本一样,同样做了免杀。rdpkax.xsl是一个特殊的数据包,只能病毒本身自行解密分离出各个组件,其组件包含“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。


本文所述病毒文件,释放在下列文件目录中
32位系统:
C:\Windows\System32\rdpkax.xsl
C:\Windows\System32\dllhostex.exe
C:\Windows\System32\ApplicationNetBIOSClient.dll
64位系统:
C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\dllhostex.exe
C:\Windows\NetworkDistribution




攻击顺序:
1
有一个主服务ApplicationNetBIOSClient,对应动态库为ApplicationNetBIOSClient.dll(由系统进程svchost.exe加载),每次都能开机启动,启动后加载spoolsv.exe
2
spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)
3
svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)
4
payload(x86.dll/x64.dll)执行后,负责将rdpkax.xsl从本地复制到目的IP主机,注册ApplicationNetBIOSClient主服务,再解密该文件,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)


0x02 组合变形与免杀


WannaMine4.0与早期版本相比,最强特征是加了组合变形与免杀。
生成不同的主服务模块DLL和数据包,如下所示:



生成的主服务模块DLL,随机组合下列字符串,如下所示:



生成的主服务模块,由上面三个字符串列表,组成随机生成、如下所示:
字符串列表1,如下所示:
Windows、Microsoft、Network、Remote、Function、Secure、Application
字符串列表2,如下所示:
Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
字符串列表3,如下所示:
Service、Host、Client、Event、Manager、Helper、System

即字符串1+字符串2+字符串3,例如ApplicationNetBIOSClient,就是以上三段拼凑而成。由于关系复杂,上午讲到的主服务ApplicationNetBIOSClient和对应的动态库ApplicationNetBIOSClient.dll本身都是会变化的,即每次运行都按照上面规律进行动态组合。

同时,由于病毒母体在生成主服务模块DLL时,会将随机组合的字符串硬编码到文件中,导致每次释放的文件哈希值都可能不一样。



另外,原始压缩文件后缀列表,如下所示,也是随机生成的:
xml、log、dat、xsl、ini、tlb、msc


0x03 挖矿

WannaMine4.0沿用早期WannaMine家族的套路,同样是瞄准了大规模的集体挖矿(利用了“永恒之蓝”漏洞的便利,迅速使之在局域网内迅猛传播),挖矿主体病毒文件为dllhostex.exe。由于利用了“永恒之蓝”漏洞攻击,所以除了中招主机业务卡顿之外,还有可能造成蓝屏,极大威胁客户业务安全。
挖矿程序行为,如下所示:



获取到相应的数据包,如下所示:



0x04 解决方案

病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
64位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系统下载链接:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z



2、某公司EDR产品及防火墙等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测:




病毒防御

1、及时给电脑打补丁,修复漏洞,打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁
https://technet.microsoft.com/zh ... urity/ms17-010.aspx)。
2、对重要的数据文件定期进行非本地备份。
3、不要点击来源不明的邮件附件,不从不明网站下载软件。
4、尽量关闭不必要的文件共享权限,譬如445等网络共享端口。
5、某公司防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。
6、使用某公司安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用某公司安全感知+防火墙+EDR,对内网进行感知、查杀和防护。

IOC

MD5:
0D948EB128171EBE163A10D4A22F25AA
297C855681A872F80AADA938F60EF33A
6DC722C9844E61427A47A2759A8FBEC0
95786B6C28BF8DBA7BBFEEBA9E1EC27A
80402e15a81e4f513980857455eb5a9c
FA78ECFB457FB2D1A35C617E778E2AA8
268F7CC5FFC830238FC55984ACA4FC39

URL:
cake.pilutce.com:443

IP:
185.128.24.101
38.132.114.172

DNS:
z.totonm.com
iron.tenchier.com

打赏鼓励作者,期待更多好文!

打赏
4人已打赏

金卡戴珊 发表于 2019-3-28 15:45
  
学习了 感谢分享
老手8421 发表于 2019-3-29 09:47
  
收藏下来
lingling 发表于 2019-3-29 17:08
  
感谢分享
D调的土豆 发表于 2019-3-31 00:16
  
学习了。谢谢
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
【 社区to talk】
安全效果
干货满满
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
升级&主动服务
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人