国内首例!深信服发现WannaMine最新变种正在集体挖矿!
  

SANGFOR_智安全 1232882

{{ttag.title}}
国内首例与国际首例发现时间相距仅为2天,传播快速,未来很有可能感染面跟原始变种WannaMine一样惊人!

1.png


近日,国内某企业疑内网有主机受病毒感染,通过某公司终端检测平台(EDR产品)进行全网扫描后发现存在大量主机感染相同病毒。经过某公司安全专家深入分析,发现这是一种最新型的WannaMine变种。该变种基于WannaMine改造,加入了一些免杀技术,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散),某公司将其命名WannaMine2.0,同时制定了详细的应对措施。

目前,该企业为国内发现感染WannaMine2.0的首例,发现时间与国际上首例发现时间相距仅为2天,传播快速,未来很有可能感染面跟原始变种WannaMine一样惊人!

病毒分析

此次 WannaMine 2.0变种,沿用了WannaMine的精心设计,涉及的病毒模块多,感染面广。与此同时,该变种具备免杀功能,查杀难度高。一旦出现主机受感染,利用“永恒之蓝”漏洞,最终将造成局域网内大量主机都被感染并进行挖矿!

攻击场景
2.png

1.HalPluginsServices.dll是主服务,每次都能开机启动,启动后加载spoolsv.exe。
2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)。
3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)执行后,负责将EnrollCertXaml.dll从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。

WannaMine 2.0变种包含的病毒文件,主要释放在下列文件目录中:
C:\Windows\System32\EnrollCertXaml.dll
C:\Windows\SpeechsTracing\
C:\Windows\SpeechsTracing\Microsoft\

网络行为

检测到WannaMine2.0的C&C服务器为:
task.attendecr.com
scan.attendecr.com
error.attendecr.com
3.png

WannaMine 2.0 C&C服务器
局域网传播上,仍然是沿用WannaMine的机制。通过spoolsv.exe和svchost.exe配合,利用永恒之蓝漏洞进行攻击,实现病毒自我复制到目标主机上。

有别于WannaMine, 此次变种2.0删除了自更新机制,包括外网更新和局域网更新两个方面。另外,也不再创建微型Web服务端,供内网其它无法上网的主机下载更新。意味着感染主机不再做病毒更新。

攻击危害:集体挖矿

WannaMine2.0沿用WannaMine的套路,同样是瞄准了大规模的集体挖矿(利用了“永恒之蓝”漏洞的便利,使之在局域网内迅猛传播),矿池站点任然指向nicehash.comminergate.com

4.png

解决方案
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。

某公司下一代防火墙用户,可开启IPS和僵尸网络功能进行封堵,其中僵尸网络识别库请升级到20180509及以上版本。
以下是具体配置步骤:
第一步,更新僵尸网络识别库到2018/5/9版本,勾选“僵尸网络识别库”点击“立即更新”。

5.png

第二步,配置“安全防护策略”并启用,源区域选择“内网区域”,目的选择“外网区域”,防御类型勾选“漏洞攻击防护”,检测响应勾选“僵尸网络”。

6.png

第三步,按下图配置好漏洞攻击防护即可。

7.png

3、查找攻击源:手工抓包分析或借助某公司安全感知快速查找攻击源,避免更多主机持续感染。
4、查杀病毒:推荐使用某公司EDR进行病毒查杀,快速分析流行事件,实现终端威胁闭环处置响应。

8.png 9.png

截图来自部署某公司EDR产品的真实用户场景,EDR终端版本也支持查杀,下载链接:http://edr.sangfor.com.cn/

5、修补漏洞:为内网所有主机打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

咨询与服务

您可以通过以下方式联系某公司,获取关于WannaMine 2.0变种的免费咨询及支持服务:
1)拨打电话400-630-6430(转6号线进入安全专线咨询)
2)PC端访问某公司社区   bbs.sangfor.com.cn选择右侧在线咨询或智能服务,进行咨询

关于某公司智安全
专注做实用的安全,能够帮助组织更有效地检测并阻止安全威胁,降低IT业务创新过程中的各种风险,为您的网络、数据和业务提供全面保护,让每个组织的安全建设更有效、更简单。

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

sangfor_闪电回_晓六 发表于 2018-5-10 14:25
  
您可以通过以下方式联系某公司,获取关于WannaMine 2.0变种的免费咨询及支持服务:
1)拨打电话400-630-6430(转6号线进入安全专线咨询)
2)PC端访问某公司社区   bbs.sangfor.com.cn,选择右侧在线咨询或智能服务,进行咨询
feeling 发表于 2018-5-10 14:37
  
厉害了。。。
ztbf 发表于 2018-5-11 10:47
  
学习下,准备防范。
tj_zero 发表于 2018-5-11 11:50
  
病毒再次来袭,大家注意。
一骑绝尘 发表于 2018-5-11 13:45
  
感觉很牛呀,病毒最初是什么感染的?
新手565981 发表于 2018-5-12 11:08
  
病毒来袭,大家注意防范!!!
熙瑞 发表于 2018-5-14 06:10
  
朋友推荐电脑安装    火绒安全4.0   替换360安全卫士   有用过的吗,是否可行。
幼稚完完 发表于 2018-5-14 08:49
  
厉害厉害,这响应速度可以
飞猪 发表于 2018-5-14 11:50
  
2018-05-14_114926.jpg
  这是啥鬼
发表新帖
热门标签
全部标签>
每日一问
信服课堂视频
GIF动图学习
技术笔记
项目案例
产品连连看
专家分享
在线直播
新版本体验
技术咨询
技术圆桌
答题自测
每日一记
功能体验
排障笔记本
安装部署配置
原创分享
测试报告
畅聊IT
SDP百科
专家问答
上网策略
云计算知识
干货满满
网络基础知识
安全攻防
VPN 对接
SANGFOR资讯
MVP
升级
日志审计
问题分析处理
流量管理
运维工具
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
标准化排查
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告

本版版主

205
123
130

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人