永恒之蓝热度不减,深信服发现WmSrvMiner新型病毒
  

SANGFOR_智安全 1232874

{{ttag.title}}
本帖最后由 某公司_智安全 于 2018-9-10 19:19 编辑

永恒之蓝热度不减,某公司发现WmSrvMiner新型病毒

摘要:超15万主机受感染!
近期,某公司安全专家追踪发现了一利用永恒之蓝的新型病毒,主机感染量超过15万,中毒主机主要是被用于挖矿,多表现为异常卡顿,严重影响主机性能和业务正常运行。某公司将其命名为WmSrvMiner,并制定了相应的防护措施。

该病毒基于永恒之蓝的漏洞攻击,传播速度极快,内网可在短时间内失陷,此病毒会持续扩大范围,某公司提醒用户积极打上 MS17-010漏洞补丁,小心中招!
病毒名称:WmSrvMiner
病毒性质:新型挖矿病毒
影响范围:15万主机感染量
危害等级:高危
传播方式:利用永恒之蓝漏洞在局域网横向扩散

病毒分析
WmSrvMiner,涉及的病毒模块多,查杀难度高,感染面广,关系复杂。

攻击场景
图片1.jpg
中毒主机在C:\Windows目录下面,有一个svchost.exe的伪装程序,本质是WmSrvMiner的主体木马,为整个攻击的核心组件。一方面主体木马svchost.exeHTTP下载站点http://103.55.13.68:13333/,下载NSA套装以及各种需要用的木马或者组件。另一方面,主体木马接收C2站点命令,执行加载器service.exe以及NSA套装。service.exe负责释放并加载挖矿进程。

NSA套装存在于C:\Windows\security\IIS文件目录,包含永恒之蓝、永恒浪漫、双脉冲星等众多攻击组件,主要负责利用MS17-010漏洞,进行内网横向传播,危害极大。
图片2.jpg
中毒主机,存在横向攻击行为

网络行为
通过对主体木马进行逆向分析,发现其C2服务器为indonesias.website,其通过C2接收命令,命令主要是下载并运行指定的恶意文件。
图片3.jpg
主体木马svchost.exe是一个典型的木马程序,逆向结果显示,有大量的命令处置流程,主要是为了配合云端,对中毒主机下载任意文件或执行任意命令。
图片4.jpg
目前其HTTP下载站点的下载量已经达到15+
图片5.jpg

漏洞利用
中毒主机,会在局域网内,利用永恒之蓝漏洞,横向传播病毒。利用的仍然是NSA套装,包括但不限于永恒之蓝、永恒浪漫、双脉冲星,当然,还有NSSMwget等辅助工具。
图片6.jpg

挖矿
WmSrvMiner主要瞄准的是大规模的集体挖矿,通过利用了永恒之蓝漏洞的便利,迅速使之在局域网内迅猛传播,矿池站点指向indonesias.me
图片7.jpg
解决方案
1感染主机隔离
已中毒主机尽快隔离,关闭所有网络连接,禁用网卡。
2病毒拦截
1)切断传播途径:关闭SMB 445等网络共享端口,关闭异常的外联访问。
2)某公司防火墙用户,可升级僵尸网络识别库20180910,进行拦截防护。
l 某公司下一代防火墙防护配置步骤:
① 确认当前设备规则库版本
确认“僵尸网络识别库”版本,需要保证当前版本为2018-09-10及以上的版本。【系统】——【系统维护】——【系统更新】——【库升级】,如下图:
图片8.png
② 开启安全功能
针对AF所防护的服务器,至少开启【僵尸网络】功能的“拒绝”动作。位置:【策略】——【安全策略】——【安全防护策略】,新增“业务防护策略”。具体参照下图:
图片9.png
图片10.png
针对AF所防护的上网终端,至少开启【僵尸网络】功能的“拒绝”动作。位置:【策略】——【安全策略】——【安全防护策略】,新增“用户防护策略”。具体参照下图:
图片11.png
图片12.png
3病毒检测
某公司防火墙及安全感知平台用户,可升级僵尸网络识别库20180910,进行病毒检测识别。
l EDR开启僵尸网络实时监测
勾选“开启僵尸网络实时监测”,选择自动隔离文件,当识别检测出僵尸网络行为时自动隔离文件。
图片13.png
图片14.jpg
4、病毒查杀
1)某公司免费提供病毒查杀工具帮助广大用户进行病毒查杀(下载地址为:http://edr.sangfor.com.cn/)。
2)推荐使用某公司EDR进行病毒检测查杀,EDR基于人工智能无特征检测技术,能够及时识别新型病毒与变种。
图片15.png
5、漏洞修复
打上永恒之蓝漏洞补丁,请到微软官网,下载对应的漏洞补丁(下载地址为:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

咨询与服务
您可以通过以下方式联系我们,获取关于
WmSrvMiner的免费咨询及支持服务:
1)拨打电话400-630-64306号线
2)关注【某公司技术服务】微信公众号,选择智能服务菜单,进行咨询
3PC端访问某公司社区
bbs.sangfor.com.cn,选择右侧智能客服,进行咨询

点击附件查看详情》》
【解决方案】永恒之蓝热度不减,深信服发现WmSrvMiner新型病毒.docx (1.19 MB, 下载次数: 57)

打赏鼓励作者,期待更多好文!

打赏
3人已打赏

主动出击 发表于 2018-9-11 08:17
  
这病毒天天这么搞不烦吗?
MaySunday 发表于 2018-9-11 15:02
  
不错不错,很详细,学习了!
studying 发表于 2018-9-12 09:50
  
嗯嗯嗯    很详细
nrsheng 发表于 2018-9-14 08:09
  
已经学习,库升级了
梦醒时刻 发表于 2018-9-14 09:05
  
检测不出来
暗夜星空 发表于 2018-9-16 20:23
  
不错,很详细,学习了
弓长湿兄 发表于 2018-9-17 08:48
  
朱墩2 发表于 2018-9-18 10:34
  
防火墙上的策略做的很详细,学习
zbsc_耿建峰 发表于 2018-9-20 12:54
  
学习了,讲的很仔细
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
标准化排查
自助服务平台操作指引
信服课堂视频
新版本体验
秒懂零信任
产品连连看
安装部署配置
功能体验
GIF动图学习
玩转零信任
2023技术争霸赛专题
技术晨报
安全攻防
每日一记
深信服技术支持平台
天逸直播
华北区交付直播
社区帮助指南
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
通用技术
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版版主

217
272
151

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人