×

WannaMine4.0挖矿病毒处置
  

tangyouwu 19365

{{ttag.title}}
本帖最后由 tangyouwu 于 2021-9-22 16:45 编辑

前言
      这次来写一篇WannaMine 4.0挖矿的杀毒处置,虽然感觉这病毒现在有点烂大街,相关处置文档也有很多,但还是想写点总结一下,希望大家看的时候能将WannaMine 4.0的扩散步骤和处置步骤结合起来看,这样理解会更深刻一点,并且文章末尾也会总结本次的处置步骤。
      同样,这个处置步骤也适用于其他Windows病毒的处置,希望大家能够通过这篇文章学到的不仅仅是处置WannaMine 4.0病毒。

一、WannaMine 4.0 介绍

1).WannaMine 4.0基本介绍
       WannaMine 4.0是当前WannaMine挖矿病毒的一个最新型的变种,之前已经存在了WannaMine 1.0、WannaMine 2.0、WannaMine 3.0版本。
        WannaMine 4.0是基于WannaMine 3.0改造后的一个变种,又加入了一些新的免杀技术,传播机制与WanaCry勒索病毒一致,局域网内,都是通过利用其他主机开放的SMB服务,加载“永恒之蓝”漏洞利用模块对内网进行横向扩散,发起大量的smb扫描,爆破行为。

2).WannaMine 4.0影响范围
存在MS17-010漏洞,开放了445端口SMB网络共享协议的Windows系统。

二、WannaMine 4.0 扩散步骤
       可以看到,WannaMine 4.0原始压缩包已经变成了rdpkax.xsl,这是一个特殊的数据包,只能由病毒自身进行解密分离出各个组件,里面同样包含了”永恒之蓝”漏洞利用工具集。

攻击步骤:
1.主服务ApplicationNetBIOSClient对应动态库ApplicationNetBIOSClient.dll(由系统进程svchost.exe加载),确保每次都能开机自启,启动后会拉起spoolsv.exe,并同时加载dllhostex.exe挖矿程序。

2.spoolsv.exe会对局域网进行445端口扫描,收集可攻击的目标主机,同时启动另一个病毒文件夹NetworkDistribution下的svhost.exe,spoolsv.exe漏洞攻击程序。

3.svhost.exe会对第二步收集到的目标主机执行”永恒之蓝”漏洞利用攻击,成功后spoolsv.exe会给开启安装后门,加载payload.dll(x86.dll/x64.dll)

4.payload.dll(x86.dll/x64.dll)执行后,会将rdpkax.xsl从本地复制到目标主机上,注册ApplicationNetBIOSClient服务,再解密该文件,启动spoolsv.exe执行攻击,同时拉起dllhostex.exe挖矿程序进行挖矿。(每感染一台,都重复步骤1、2、3、4)。

主服务模块会由下面三串字符串随机组成:
1.Windows|Microsoft|Network|Remote|Function|Secure|Application
2.Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP
3.Service|Host|Client|Event|Manager|Helper|System

本文所述病毒文件,释放在下列文件目录中:
32位系统:
C:\Windows\System32\rdpkax.xsl
C:\Windows\System32\dllhostex.exe
C:\Windows\System32\ApplicationNetBIOSClient.dll
64位系统:
C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\dllhostex.exe
C:\Windows\NetworkDistribution

三、WannaMine 4.0 手工处置
1).病毒的发现,在通过态势感知,或其他的安全设备,发现内网主机可能存在感染WannaMine4.0。
2).使用Process Hacker工具查看网络连接情况,发现有一个dllhost.exe进程不断对内网网段进行445端口扫描。
3).转到进程分析,发现dllhost.exe是一个svchost.exe进程的子进程,并且在该“svchost.exe”父进程下还有一个“dllhostex.exe”子进程的CPU占用达到将近80%左右。
4).使用PChunter工具查看进程“svchost.exe”的进程模块,效验所有数字签名,发现其中有一个模块进程有异常,其数字签名还伪装成微软的。该dll模块路径如下:“c:\windows\syswow64\windowsprotocolhost.dll”,可以发现模块名符合WannaMine 4.0主模块的名称字符串随机组合。
5).通过Autonus找到“windowsprotocolhost.dll”文件的服务项。
6).处置步骤:
    1.使用Process Hacker先结束“svchost.exe”父进程,再结束掉里面的2个“dllhost.exe”,“dllhostex.exe”子进程。  
    2.删除windowsprotocolhost服务项。  
    3.删除“windowsprotocolhost.dll”病毒dll主服务模块。  
    4.删除“dllhostex.exe“病毒挖矿文件。  
    5.删除病毒释放的“networkdistribution”文件夹(这里面存放的是“永恒之蓝”漏洞利用模块)。

【注意】:处置完成后,还需再打上MS17-010补丁,防止主机再次被感染上。

https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010

7).杀毒总结:   
1.网络连接---(Process Hacker)   
2.进程 -------(Process Hacker)   
3.文件  ------(PChunter)   
4.启动项 (服务,计划任务,登录,用户登录,WMI)---(Autonus)

【备注】:若通过安全设备发现这台主机确实有问题,但查找又找不到,可以通过SfAntiBot(深信服僵尸网络查杀工具)威胁检索查内存中对应的关键字尝试一下,病毒有可能被注入到内存里了。


Windwos主机杀毒通过以上几个总结的步骤,大多数病毒应该都可以进行杀毒处置掉。

大家看完后,如果觉得对自己有帮助的话,请帮忙点下赞,打赏点S豆

打赏鼓励作者,期待更多好文!

打赏
10人已打赏

飞翔的苹果 发表于 2021-9-26 08:22
  
感谢分享,有助于工作,学习学习
会飞的癞蛤蟆 发表于 2021-10-26 11:35
  
1.网络连接---(Process Hacker)   
2.进程 -------(Process Hacker)   
3.文件  ------(PChunter)   
4.启动项 (服务,计划任务,登录,用户登录,WMI)---(Autonus)

这些工具不错,收藏备用
会飞的癞蛤蟆 发表于 2021-11-16 16:03
  
照着这个帖子做,我也是手动查毒小能手
卢美美 发表于 2021-12-22 16:45
  
感谢分享,有助于工作,学习学习
dhf 发表于 2022-1-24 22:19
  
感谢楼主的精彩分享,有助工作!!!
沧海一杯水 发表于 2022-1-25 00:02
  
坚持打卡,坚持学习。。。。。。。。
卢美美 发表于 2022-1-31 15:45
  
感谢分享,有助于工作,学习学习。
HeJing 发表于 2022-2-1 22:20
  
感谢分享,有助于工作,学习学习。
慈行普渡 发表于 2022-2-5 20:18
  
感谢分享,有助于工作,学习学习
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
产品连连看
功能体验
标准化排查
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人