近日,某公司安全团队监测到一款名为ZombieBoy的木马悄然感染了国内外多个行业的用户主机。该木马包含内网扫描、“永恒之蓝”漏洞利用、“双脉冲星”后门、挖矿工具等多个恶意模块,是一款集传播、远控、挖矿功能为一体的混合型木马。其结构类似于“MassMine”,由于释放第一个恶意DLL文件时使用了一个名为ZombieBoy的工具,因此被命名为ZombieBoy挖矿木马。
病毒名称:ZombieBoy 病毒性质:挖矿木马 影响范围:目前已感染数万台设备,涉及多行业 危害等级:高危 传播方式:内网扫描、“永恒之蓝”漏洞利用
病毒描述
ZombieBoy木马最早出现于2017年底,2018年下旬,安全媒体报道被该木马控制的主机多达七万台。日前,经某公司安全云脑数据监测发现,该木马在各个行业中迅速扩散。其中,安全防护较为薄弱的企业成为感染的重灾区,教育行业、政企单位等均受到不同程度的感染:
从某公司的云脑监测数据来看,该木马感染区域没有明确的目标,全国各省以及国外用户均存在感染现象,其中感染量TOP5区域分别为广东省、浙江省、北京市、上海市、江西省。
感染现象
受感染的主机上出现了未知IP策略的明显现象,该策略会将除了22.148.18.88之外连接445的IP全部阻止。
可疑IP地址查询为一个美国IP。
搜索最新创建的TXT文件,能发现大量IP.TXT文件,是该木马内网传播模块的日志文件:
出现执行木马目录下恶意文件的计划任务:
windows目录下创建一个5位随机字母的文件夹,并存在boy.exe木马文件:
存在恶意挖矿进程:
WinEggDrop开源扫描器进程:
永恒之蓝漏洞利用工具进程Cstrl.exe:
双星脉冲后门植入工具进程chrome.exe:
解决方案 AF一 、确认当前设备版本和规则库版本 设备版本,建议升级至AF8.0.5及以上版本,同时开启杀毒功能,更新规则库至最新版本,以获取更好的防护效果及更快速的更新能力。 二 、开启安全功能 针对此次的“ZombieBoy挖矿蠕虫”防护,某公司AF建议针对【内网主机】,可以开启 “病毒防护功能”功能。同时防火墙设备启用“云脑”功能,使用云查服务可以即时检测防御新威胁。配置如下: 1、新增开启病毒防护功能的内容安全模板,如下图: 2、新增针对“内网主机”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“内容安全”功能,动作选择“拒绝”。配置如下:
3、防火墙设备建议启用“云脑”功能,使用云查服务可以实时 检测防御新威胁。配置如下: 开启序列号功能: 确保设备联网正常,云脑接入正常:
SIP一、SIP能连接互联网情况 IOC库到2019-7月10号平台将会自动升级,也可以手动触发升级
更新完成后如下,更新到2019年7月10号的IOC库。
二、SIP不能连接互联网情况
导入完成后,如下,更新到2019年7月10号的IOC库。
EDR一、更新病毒库更新病毒库到20190628110023及以上版本,即可对ZombieBoy挖矿木马处理进行查杀。
1、EDR管理平台能连接互联网情况: 通过以下界面检查EDR管理平台是否完成自动更新。 2、EDR管理平台不能联网情况: 通过以下地址下载离线病毒库,导入EDR管理平台更新。点击下载
病毒库需要解压,解压密码为sangfor,得到pkg文件,通过以下界面导入EDR管理平台。
二、开启安全策略 1、启用实时防护策略 针对内网终端启用实时防护策略,开启文件实时监控、勒索病毒防护、暴力破解检测,配置如下图:
通用解决办法1、更新MS17-010漏洞补丁。 2、关闭业务上不需要的端口,如135、137、138、139、445等。 3、使用安全产品查杀木马文件及进程,某公司EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。 4、使用某公司安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。 5、某公司为广大某公司免费提供查杀工具,可下载如下工具,进行检测查杀。 64位系统下载链接: http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z 32位系统下载链接: http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
咨询与服务 您可以通过以下方式联系我们,获取关于ZombieBoy挖矿木马的免费咨询及支持服务: 1)拨打电话400-630-6430转6号线 2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询 3)PC端访问某公司区bbs.sangfor.com.cn,选择右侧智能客服,进行咨询 | 
发表于 2019-7-11 09:33
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级