警惕!WannaMine 3.0变种来袭
  

SANGFOR_智安全 10572

{{ttag.title}}
本帖最后由 某公司_智安全 于 2018-11-23 11:31 编辑

警惕!WannaMine 3.0变种来袭
图片49.jpg
近日,多家企业反馈大量PC和服务器存在卡顿和蓝屏现象,通过某公司终端检测平台(EDR产品)进行全网扫描后发现感染相同病毒。经过某公司安全专家深入分析,发现这是一种最新型的WannaMine变种。由于之前已有WannaMine1.0WannaMine2.0版本,我们将其命名为WannaMine3.0

目前短时间内已有多家医院先后中招,传播速度惊人!未来,感染面很可能与原始变种WannaMine1.0WannaMine2.0一样大!

病毒名称:WannaMine 3.0
病毒性质:挖矿病毒
影响范围:短时间内已有多家医院先后中招
危害等级:高危
传播方式:传播机制与WannaCry勒索病毒一致,可在局域网内,通过SMB快速横向扩散。

病毒分析
此病毒变种,是基于WannaMine改造,加入了一些免杀技术,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散)。

通过对捕获的样本进行分析,发现其接入站点已变更为codidled.com。经查验,这是一个20181111日刚申请注册的域名,也就是说,黑客重新编译WannaMine3.0的时间锁定为20181111日或以后。

图片50.png
01攻击场景
此次攻击,沿用了WannaMine1.0WannaMine2.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。
图片51.jpg
所不同的是,原始压缩包已经变为MarsTraceDiagnostics.xml,其含有所需要的所有攻击组件。原始WannaMine版本的压缩包可以直接解压,但此变种做了免杀,MarsTraceDiagnostics.xml是一个特殊的数据包,需要病毒自己才能分离出各个组件。其组件有spoolsv.exesnmpstorsrv.dll等病毒文件,此外,还有永恒之蓝漏洞攻击工具集(svchost.exespoolsv.exex86.dll/x64.dll等)。

其攻击顺序为:
1.主服务为snmpstorsrv,对应动态库为snmpstorsrv.dll(由系统进程svchost.exe加载),每次都能开机启动,启动后加载spoolsv.exe

2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exespoolsv.exe(另外一个病毒文件)。

3.svchost.exe执行永恒之蓝漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payloadx86.dll/x64.dll)。

4.payloadx86.dll/x64.dll)执行后,负责将MarsTraceDiagnostics.xml从本地复制到目的IP主机,再解压该文件,注册snmpstorsrv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1234)。

WannaMine 3.0变种包含的病毒文件,主要释放在下列文件目录中:

C:\Windows\System32\MarsTraceDiagnostics.xml
C:\Windows\AppDiagnostics\
图片52.jpg

02清理早期WannaMine版本
WannaMine3.0特意做了清理早期WannaMine版本的动作,包括删除或者停掉WannaMine1.0WannaMine2.0相关的文件、服务和计划任务等。
清理掉之前WannaMine版本的病毒样本,如下图所示:
图片82.jpg
停掉wmassrv服务:
图片53.png
删除UPnPHostServices计划任务,如下所示:
图片54.png
删除EnrollCertXaml.dll,如下所示:
图片55.png
结束永恒之蓝攻击程序以及挖矿程序进程,并删除相应的文件,如下所示:
图片56.jpg

相应的进程文件如下:
C:\Windows\SpeechsTracing\spoolsv.exe
C:\Windows\System32\TasksHostServices.exe
C:\Windows\SpeechsTracing\Microsoft\svchost.exe
C:\Windows\SpeechsTracing\Microsoft\spoolsv.exe
删除之前wmassrv.dll文件:
图片58.png
遍历之前版本目录下的文件,并删除。相应的目录为:
C:\Windows\SpeechsTracing\
C:\Windows\SpeechsTracing\Microsoft\
卸载之前的挖矿模块HalPluginsServices.dll
图片59.jpg
结束rundll32.exe进程,并删除相应挖矿的文件。
图片60.jpg
03挖矿
WannaMine3.0沿用WannaMine1.0WannaMine2.0的套路,同样是瞄准了大规模的集体挖矿(利用了永恒之蓝漏洞的便利,迅速使之在局域网内迅猛传播),挖矿主体病毒文件为TrustedHostex.exe
图片60.jpg
其连入地址为codidled.com
图片61.png
解决方案
某公司提醒广大用户尽快做好病毒检测与防御措施,防范此次WannaMine 3.0攻击。
  
病毒检测查杀
1、某公司为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

2、某公司EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。其中EDR产品,采用某公司SAVE智能安全检测引擎,通过人工智能自主学习自动识别未知威胁,无需任何升级即可自主检测查杀该最新变种。
3、安全感知平台SIP的具体配置方法:
①、需要使用SIP3.0.14STA3.0.8进行才能检测。
图片62.png
图片63.png
若软件版本不是最新版本,请到某公司社区下载:
②、软件版本升级到最新后,还需要更新病毒库以及IOC情报库
图片64.png
SIP3.0.14IOC情报库更新到2018-11-22号,SIP能联网客户可以点击立即云端获取,不能联网客户到某公司社区下载IOC特征库进行更新。
图片65.png

病毒防御
1、及时给电脑打补丁,修复永恒之蓝漏洞。永恒之蓝漏洞补丁下载地址:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2、不要点击来源不明的邮件附件,不从不明网站下载软件。
3、尽量关闭不必要的文件共享权限。
4、EDR产品通过关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问,配置方法如下:
①、升级更新到3.2.8版本。
按说明文档进行升级或全新安装。
图片66.png
②、微隔离阻断SMB传播。
对不需要的使用SMB服务的服务器,配置拒绝的微隔离策略。
添加SMB服务,包括135137138139445端口
图片67.png

图片68.png

图片69.png

图片70.png
配置完成:
图片71.png
5、某公司下一代防火墙客户,建议升级到AF805版本,并开启智能安全检测引擎SAVE,以达到最好的防御效果。
①确认当前设备规则库版本
确认“IPS漏洞特征识别库”和“热门威胁”库版本,保持当前最新即可。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
图片72.png
②开启安全功能
针对此次的WannaMine 3.0病毒防护,某公司 AF建议可以开启“漏洞攻击防护”、“SAVE杀毒”和“僵尸网络”三个功能,配置如下:
SAVE杀毒功能需要具备相应的条件,如下:
u AF设备已升级到AF8.0.5及以上版本;
u 已开通网关杀毒功能,详见【系统】-【系统配置】-【通用配置】-【序列号】,见下图:
图片73.png
相应功能模块准备,如下:
u 漏洞攻击防护功能,使用设备默认自带模板即可;
u 僵尸网络功能,使用设备默认自带模板即可:
u SAVE杀毒功能,在AF8.0.6版本使用设备自带的【防勒索-文件下载查杀】模板即可。在AF8.0.5版本需要手动定义模板,位置在【对象】-【安全策略模板】-【内容安全】,操作如下:
图片74.png
开启针对“用户业务系统”的防护策略,【策略】——【安全防护策略】——“新增”——“业务防护策略”,开启“漏洞攻击防护”、“SAVE杀毒”和“僵尸网络”三个功能,动作全部选择“拒绝”。配置如下:
图片75.png

图片76.png

图片77.png
开启针对“用户上网终端”的防护策略,【策略】——【安全防护策略】——“新增”——“用户防护策略”,开启“漏洞攻击防护”、“SAVE杀毒”和“僵尸网络”三个功能,动作全部选择“拒绝”。配置如下:
图片78.png

图片79.png

图片80.png
咨询与服务
您可以通过以下方式联系我们,获取关于
WannaMine病毒的免费咨询及支持服务:
1)拨打电话400-630-6430转6号线(已开通病毒专线)
2)关注【某公司技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3PC端访问某公司区 bbs.sangfor.com.cn,选择右侧智能客服,进行咨询
图片81.jpg

打赏鼓励作者,期待更多好文!

打赏
10人已打赏

稻草 发表于 2018-11-23 13:22
  
太可怕了。
7情6欲 发表于 2018-11-25 20:52
  
安全威胁无处不在
清荷听雨 发表于 2018-11-25 21:07
  
好厉害啊,防范防范再防范。
玖零网络 发表于 2018-11-26 08:38
  
厉害了我的某公司NGAF
林庚 发表于 2018-11-26 16:21
  
厉害了我的某公司NGAF
好心情能长寿 发表于 2018-11-26 23:14
  
又来了。。。。。
青菜萝卜各有所爱 发表于 2018-11-27 08:42
  
好像有人已经中招了。
新手683057 发表于 2018-11-27 09:27
  
某公司做安全也挺专业的哈
蝃蝀 发表于 2018-11-27 12:25
  
沿用了WannaMine1.0和WannaMine2.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
干货满满
每周精选
技术咨询
标准化排查
自助服务平台操作指引
信服课堂视频
新版本体验
秒懂零信任
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

217
272
151

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人