首頁 | 聯系我們
首頁 産品中心 解決方案 安全服務 關于睿宏 資訊中心
我們在發展

國(guó)內(nèi)外(wài)市(shì)場(c↕>↕∏hǎng)占有(yǒu)率不(bù)斷增長(cháng)

當前位置:首頁 > 資訊中心 > 行(xíng)業(yè)新聞
永恒之藍(lán)熱(rè)度不(bù)減,深信服發現(xiàn)WmSrvM→€‍iner新型病毒
發布時(shí)間(jiān):2018-09-20

 

來(lái)源:深信服官網

原文(wén)鏈接:http://www.sangfor.com.cn/σ÷εabout/source-news-compa∞×↑ny-news/1098.html

 

 

 

近(jìn)期,深信服安全專家(jiā)追蹤發現(xi‌δàn)了(le)一(yī)利用(yòng)永恒之藍(lán)的(de)新♦±★§型病毒,主機(jī)感染量超過15萬,中毒主機(j™←ī)主要(yào)是(shì)被用(yòng)于挖礦,多(duō)≠₽>表現(xiàn)為(wèi)異常卡頓,嚴重影(yǐng)響≥Ω™主機(jī)性能(néng)和(hé)業(yè)務正常運行(xín→'↓↔g)。深信服将其命名為(wèi)WmSrvMiner,并制(zhì)定¶'♥了(le)相(xiàng)應的(de)防護措施。 ₽£ 

 

該病毒基于永恒之藍(lán)的(de)漏洞攻擊,傳播速度極快(k¶↔"<uài),內(nèi)網可(kě)在短(duǎn)時(shí)間(jiān¶≠)內(nèi)失陷,此病毒會(huì)持續擴大(dà)範§σ••圍,深信服提醒用(yòng)戶積極打上(s€★ε hàng) MS17-010漏洞補丁,小(xiǎo)♠>↑±心中招!

 

病毒名稱:WmSrvMiner

病毒性質:新型挖礦病毒

影(yǐng)響範圍:超15萬主機(jī)感染量

危害等級:高(gāo)危

傳播方式:利用(yòng)永恒之藍(lán)漏洞在局域網橫向擴散

 

 

病毒分(fēn)析

WmSrvMiner,涉及的(de)病毒模塊多(du‌☆ō),查殺難度高(gāo),感染面廣,關系複雜→•(zá)。

 

01攻擊場(chǎng)景

 

 

 

中毒主機(jī)在C:\Windows目錄下(xià)&₹₽£面,有(yǒu)一(yī)個(gè)svchost.exe的(de)僞裝程序γ↑↑,本質是(shì)WmSrvMiner的(de)主體(tǐ)木(mù)馬, "♣γ為(wèi)整個(gè)攻擊的(de)核心組件(jiàn)。一(yγ<ī)方面主體(tǐ)木(mù)馬svchost.exe從(cóng)®≠£HTTP下(xià)載站(zhàn)點h±↔ttp://103.55.13.68:13333/,下(xià)載NSA套裝∑Ω∏以及各種需要(yào)用(yòng)的(de)木( π‌∑mù)馬或者組件(jiàn)。另一(yī)方面,主體(tǐ)木(mù)馬↓‌接收C2站(zhàn)點命令,執行(xíng)加載₩™器(qì)service.exe以及NSA套裝。service↑♥.exe負責釋放(fàng)并加載挖礦進程。

 

NSA套裝存在于C:\Windows\security\IIS文★★(wén)件(jiàn)目錄,包含永恒之藍Ω>(lán)、永恒浪漫、雙脈沖星等衆多(du $§↑ō)攻擊組件(jiàn),主要(yào)負責利用(yòng)MS17-≥✘010漏洞,進行(xíng)內(nèi)網橫向傳播,危害極大(dà)。

 

 

 

中毒主機(jī),存在橫向攻擊行(xíng)為(wèi)

 

02網絡行(xíng)為(wèi)

通(tōng)過對(duì)主體(tǐ)木(mù)♠φ₹馬進行(xíng)逆向分(fēn)析,發現(xià♠∞♣n)其C2服務器(qì)為(wèi)indone$δ♥αsias.website,其通(tōng)過C2接收命令,命令主要(y☆"ào)是(shì)下(xià)載并運行(xíng)指定的(de)惡意文(wénε¥≤δ)件(jiàn)。

 

 

 

主體(tǐ)木(mù)馬svchost.exe是'↕(shì)一(yī)個(gè)典型的(de)木(mù)馬程序,逆向結果☆ α×顯示,有(yǒu)大(dà)量的(de)命令處置流程,主要(yào)是∏↔∑(shì)為(wèi)了(le)配合雲端,§Ω對(duì)中毒主機(jī)下(xià)載任意文(wén)•"δ件(jiàn)或執行(xíng)任意命令。

 

 

 

 

目前其HTTP下(xià)載站(zhàn)點的(de)下(xià‌≠×)載量已經達到(dào)15萬+。

 

 

 

03漏洞利用(yòng)

中毒主機(jī),會(huì)在局域網內(nèi)∏≥≠‍,利用(yòng)永恒之藍(lán)漏洞,橫向傳播病毒。利用(©λ₽yòng)的(de)仍然是(shì)NSA套裝,包括但(dà‌&αn)不(bù)限于永恒之藍(lán)、永$₽恒浪漫、雙脈沖星,當然,還(hái)有(yǒu)NSSM€✔©★、wget等輔助工(gōng)具。

 

 

 

 

04挖礦

WmSrvMiner主要(yào)瞄準的(de)是(shì)大∏↔(dà)規模的(de)集體(tǐ)挖礦,通(tōng)過利用(yòng)∏÷↕了(le)永恒之藍(lán)漏洞的(de)便利,迅速使之在局域網內(nèi)迅π☆'♠猛傳播,礦池站(zhàn)點指向indoγ↕'nesias.me。

 

 

 

 

解決方案

 

1、感染主機(jī)隔離(lí)

已中毒主機(jī)盡快(kuài)隔離(lí),關閉所有(yǒu)網絡 ¶€ 連接,禁用(yòng)網卡。

 

2、病毒攔截

1)切斷傳播途徑:關閉SMB 445等網絡共享端口,₽×Ωβ關閉異常的(de)外(wài)聯訪問(wèn)。

2)深信服防火(huǒ)牆用(yòng)♣<♣戶,可(kě)升級僵屍網絡識别庫20180910,進行(x₩ ₹íng)攔截防護。

 

3、病毒檢測

深信服防火(huǒ)牆及安全感知(zhī)平™•台用(yòng)戶,可(kě)升級僵屍網&ε→≠絡識别庫20180910,進行(xíng)病毒檢測識别。

 

 

 

 

4、病毒查殺

1)深信服免費(fèi)提供病毒查殺工(gōng)γ≈§具幫助廣大(dà)用(yòng)戶進行(xíng)病毒查γ±→$殺(下(xià)載地(dì)址為(wèi):http://edr.sangfor.com.cn/)。

2)推薦使用(yòng)深信服EDR進行(xíng)病毒檢測查殺,EDR基于人→φ∏(rén)工(gōng)智能(néng)無特征 וβ檢測技(jì)術(shù),能(néng)夠及時(shí)識别新型>​☆病毒與變種。

 

 

 

5、漏洞修複

打上(shàng)“永恒之藍(lán)”漏洞Ω×β 補丁,請(qǐng)到(dào)微(wēi)軟官網,下₹£δ♠(xià)載對(duì)應的(de)漏洞補丁(下(xià)載地(dì©≠↓)址為(wèi):https://technet.microsoft.com/zh-cn/lib" rary/security/ms17-010.aspx)。