多款病毒变种利用永恒之蓝再次席卷而来!
  

SANGFOR_智安全 Lv6发表于 2018-4-8 14:17

近期,多款热门病毒变种正在利用永恒之蓝漏洞进行蔓延,威胁程度达到高危,影响范围广泛。深信服紧急预警,提醒广大用户做好安全防护措施!

病毒分析
近期出现的利用永恒之蓝漏洞的多款病毒包括:Satan勒索病毒变种、WannaMine挖矿变种、PowershellMiner无文件挖矿变种以及WannaCry勒索2.0蓝屏变种。

01Satan勒索变种
用户一旦遭受Satan勒索变种攻击,重要文档和数据库文件均可能被加密,并被勒索0.3个比特币。Satan勒索变种攻击过程如下:
11.png

其中:
1.st.exe是母体,执行后会下载ms.exe和Client.exe。
2.ms.exe是一个自解压文件,包含的blue.exe和star.exe执行永恒之蓝漏洞攻击。
3.一旦攻击成功后,star.exe加载payload(down64.dll),负责下载并运行st.exe。
4.Client.exe是Satan勒索病毒,执行文件加密操作,并弹出勒索信息。
5.每感染一台后,都会重复执行1、2、3、4步骤,在局域网进行扩散。

02WannaMine挖矿变种
WannaMine挖矿变种会造成用户服务器和PC异常卡顿,消耗主机大量CPU资源。其攻击过程如下:
22.png
1.srv是主服务,每次都会进行开机启动,启动后加载spoolsv。
2.spoolsv对局域网进行445端口扫描,确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程序svchost.exe和spoolsv.exe。
3.svchost.exe执行永恒之蓝漏洞溢出攻击(目的IP由步骤2确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)执行后,负责将MsraReportDataCache32.tlb从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行攻击。
5.每感染一台,都重复步骤1、2、3、4,在内网扩散。

03PowershellMiner无文件挖矿变种
PowershellMiner挖矿变种没有本地恶意文件,用户难以发觉,往往能够消耗主机90.0%以上CPU资源,造成主机性能异常卡顿。其攻击顺序如下:
33.png
1.首先,挖矿模块启动,持续进行挖矿。
2.其次,Minikatz模块对目的主机进行SMB爆破,获取NTLMv2数据。
3.然后,WMIExec使用NTLMv2绕过哈希认证,进行远程执行操作,成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来,流程结束。
4.最后,如果WMIExec攻击失败,则尝试使用MS17-010永恒之蓝漏洞攻击,成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来。
5.每感染一台主机,都重复步骤1、2、3、4,在内网进行扩散。

04WannaCry勒索2.0蓝屏变种
该勒索变种并不会勒索成功,但由于漏洞利用不当,常常导致主机蓝屏崩溃。在服务器场景下,对企业业务影响极大。
此变种是WannaCry的2.0版本,2018年仍然十分活跃。之前的版本会释放勒索程序对主机进行勒索,但此变种的勒索程序在主流Windows平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该病毒,病毒会互相之间进行永恒之蓝漏洞攻击,该漏洞的利用使用堆喷射技术,该技术漏洞利用并不稳定,有小概率出现漏洞利用失败,在利用失败的情况下,会出现被攻击主机蓝屏的现象。

深信服应对建议
针对广大用户,建议进行日常防范措施:
1.不要点击来源不明的邮件附件,不从不明网站下载软件;
2.及时给主机打上永恒之蓝漏洞补丁,修复此漏洞;
3.对重要的数据文件定期进行非本地备份;
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。

针对使用深信服产品的用户,深信服紧急响应,第一时间为用户提供解决方案:

1.深信服下一代防火墙已支持阻断针对永恒之蓝漏洞的各种热门攻击。下一代防火墙用户升级僵尸网络识别库到20180407及以上版本,升级病毒库到20180406及以上版本即可。

2.深信服安全感知产品的用户,可直接探测永恒之蓝漏洞攻击的移动情况和内网安全状况。

44.png

3.深信服终端检测响应平台(EDR)提供端点防护和病毒清理功能,EDR的用户可以直接有效地清除相关病毒。
55.png

4.使用深信服立体防护解决方案的用户无需担心,通过深信服下一代防火墙+安全感知+EDR,三者相互联动响应,实现边界到终端的完整防护、检测和响应,有效应对永恒之蓝漏洞攻击。

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

marco Lv3发表于 2018-4-8 14:46
  
感谢楼主分享。
feeling Lv24发表于 2018-4-8 15:29
  
不错,注意安全
78465 Lv7发表于 2018-4-8 15:51
  
通过深信服下一代防火墙+安全感知+EDR,三者相互联动响应,实现边界到终端的完整防护、检测和响应,有效应对永恒之蓝漏洞攻击。
新手669092 Lv16发表于 2018-4-8 16:10
  
深信服应对建议
针对广大用户,建议进行日常防范措施:
1.不要点击来源不明的邮件附件,不从不明网站下载软件;
2.及时给主机打上永恒之蓝漏洞补丁,修复此漏洞;
3.对重要的数据文件定期进行非本地备份;
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。
新手978622 Lv4发表于 2018-4-10 10:48
  
谢谢楼主再次提醒。

安全第一。
誓言落寞了年华 Lv6发表于 2018-4-10 11:40
  
感谢提醒  安全第一
yl2352 Lv8发表于 2018-4-11 09:54
  
谢谢楼主提醒
林志斌 Lv3发表于 2018-4-11 10:20
  
楼主整理的很好啊  学习了!
小鱼笨笨 Lv5发表于 2018-4-11 16:28
  
楼主说的很全面,学习了!

×
有话想说?点这里!
可评论、可发帖

本版版主

48
19
1

发帖

粉丝

关注

本版热帖

本版达人

TravelN...

本周建议达人