警惕!WannaMine 3.0变种来袭
近日,多家企业反馈大量PC和服务器存在卡顿和蓝屏现象,通过某公司终端检测平台(EDR产品)进行全网扫描后发现感染相同病毒。经过某公司安全专家深入分析,发现这是一种最新型的WannaMine变种。由于之前已有WannaMine1.0和WannaMine2.0版本,我们将其命名为WannaMine3.0。
目前短时间内已有多家医院先后中招,传播速度惊人!未来,感染面很可能与原始变种WannaMine1.0和WannaMine2.0一样大!
病毒名称:WannaMine 3.0
病毒性质:挖矿病毒
影响范围:短时间内已有多家医院先后中招
危害等级:高危
传播方式:传播机制与WannaCry勒索病毒一致,可在局域网内,通过SMB快速横向扩散。
病毒分析
此病毒变种,是基于WannaMine改造,加入了一些免杀技术,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散)。
通过对捕获的样本进行分析,发现其接入站点已变更为codidled.com。经查验,这是一个2018年11月11日刚申请注册的域名,也就是说,黑客重新编译WannaMine3.0的时间锁定为2018年11月11日或以后。
01攻击场景
此次攻击,沿用了WannaMine1.0和WannaMine2.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。
所不同的是,原始“压缩包”已经变为MarsTraceDiagnostics.xml,其含有所需要的所有攻击组件。原始WannaMine版本的压缩包可以直接解压,但此变种做了免杀,MarsTraceDiagnostics.xml是一个特殊的数据包,需要病毒自己才能分离出各个组件。其组件有spoolsv.exe、snmpstorsrv.dll等病毒文件,此外,还有“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。
其攻击顺序为:
1.主服务为snmpstorsrv,对应动态库为snmpstorsrv.dll(由系统进程svchost.exe加载),每次都能开机启动,启动后加载spoolsv.exe。
2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)。
3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)执行后,负责将MarsTraceDiagnostics.xml从本地复制到目的IP主机,再解压该文件,注册snmpstorsrv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。
WannaMine 3.0变种包含的病毒文件,主要释放在下列文件目录中:
C:\Windows\System32\MarsTraceDiagnostics.xml
C:\Windows\AppDiagnostics\
02清理早期WannaMine版本
WannaMine3.0特意做了清理早期WannaMine版本的动作,包括删除或者停掉WannaMine1.0和WannaMine2.0相关的文件、服务和计划任务等。
清理掉之前WannaMine版本的病毒样本,如下图所示:
删除UPnPHostServices计划任务,如下所示:
删除EnrollCertXaml.dll,如下所示:
结束永恒之蓝攻击程序以及挖矿程序进程,并删除相应的文件,如下所示:
相应的进程文件如下:
C:\Windows\SpeechsTracing\spoolsv.exe
C:\Windows\System32\TasksHostServices.exe
C:\Windows\SpeechsTracing\Microsoft\svchost.exe
C:\Windows\SpeechsTracing\Microsoft\spoolsv.exe
删除之前wmassrv.dll文件:
遍历之前版本目录下的文件,并删除。相应的目录为:
C:\Windows\SpeechsTracing\
C:\Windows\SpeechsTracing\Microsoft\
卸载之前的挖矿模块HalPluginsServices.dll:
结束rundll32.exe进程,并删除相应挖矿的文件。
03挖矿
WannaMine3.0沿用WannaMine1.0和WannaMine2.0的套路,同样是瞄准了大规模的集体挖矿(利用了“永恒之蓝”漏洞的便利,迅速使之在局域网内迅猛传播),挖矿主体病毒文件为TrustedHostex.exe。
其连入地址为codidled.com:
解决方案
某公司提醒广大用户尽快做好病毒检测与防御措施,防范此次WannaMine 3.0攻击。
病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。
2、某公司EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。其中EDR产品,采用某公司SAVE智能安全检测引擎,通过人工智能自主学习自动识别未知威胁,无需任何升级即可自主检测查杀该最新变种。
3、安全感知平台SIP的具体配置方法:
①、需要使用SIP3.0.14,STA3.0.8进行才能检测。
若软件版本不是最新版本,请到某公司社区下载:
②、软件版本升级到最新后,还需要更新病毒库以及IOC情报库
将SIP3.0.14的IOC情报库更新到2018-11-22号,SIP能联网客户可以点击立即云端获取,不能联网客户到某公司社区下载IOC特征库进行更新。
病毒防御
1、及时给电脑打补丁,修复永恒之蓝漏洞。永恒之蓝漏洞补丁下载地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2、不要点击来源不明的邮件附件,不从不明网站下载软件。
3、尽量关闭不必要的文件共享权限。
4、EDR产品通过关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问,配置方法如下:
①、升级更新到3.2.8版本。
按说明文档进行升级或全新安装。
②、微隔离阻断SMB传播。
对不需要的使用SMB服务的服务器,配置拒绝的微隔离策略。
添加SMB服务,包括135、137、138、139、445端口:
配置完成:
5、某公司下一代防火墙客户,建议升级到AF805版本,并开启智能安全检测引擎SAVE,以达到最好的防御效果。
①确认当前设备规则库版本
确认“IPS漏洞特征识别库”和“热门威胁”库版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
②开启安全功能
针对此次的WannaMine 3.0病毒防护,某公司 AF建议可以开启“漏洞攻击防护”、“SAVE杀毒”和“僵尸网络”三个功能,配置如下:
SAVE杀毒功能需要具备相应的条件,如下:
u AF设备已升级到AF8.0.5及以上版本;
u 已开通网关杀毒功能,详见【系统】-【系统配置】-【通用配置】-【序列号】,见下图:
相应功能模块准备,如下:
u 漏洞攻击防护功能,使用设备默认自带模板即可;
u 僵尸网络功能,使用设备默认自带模板即可:
u SAVE杀毒功能,在AF8.0.6版本使用设备自带的【防勒索-文件下载查杀】模板即可。在AF8.0.5版本需要手动定义模板,位置在【对象】-【安全策略模板】-【内容安全】,操作如下:
开启针对“用户业务系统”的防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”、“SAVE杀毒”和“僵尸网络”三个功能,动作全部选择“拒绝”。配置如下:
开启针对“用户上网终端”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“漏洞攻击防护”、“SAVE杀毒”和“僵尸网络”三个功能,动作全部选择“拒绝”。配置如下:
咨询与服务
您可以通过以下方式联系我们,获取关于
WannaMine病毒的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通病毒专线)
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)PC端访问某公司区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询
发表于 2018-11-23 11:29
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
工程师2级 
