近日，千里目安全實驗室EDR安全團隊接到某企業反饋，稱其內網大量伺服器存在挖礦問題，且難以清理乾淨。經過深入分析，發現這是一種新型的挖礦病毒，屬全國首例，其病毒機制與常規挖礦相差很大。 EDR 安全團隊在持續追蹤後發現了病毒入侵途徑，已將此病毒命名為wmixml挖礦病毒，同時制定了詳細的應對措施。

病毒名稱：wmixml

病毒性質：新型挖礦病毒

影響範圍：已發現全國首例

查殺難度：極難

不同於常規挖礦病毒， wmixml 的挖礦功能體以密文檔案的形式存在而不是常規的獨立exe。感染主機上，會有一個載入病毒體dll，在被系統程序svchost.exe載入後，讀取挖礦密文檔案，在記憶體中解密後再將挖礦原體注入到另外一個系統程序svchost.exe中。由於解密動作發生在記憶體中，目前已繞過了大量防毒引擎，達到了免殺的目的。

攻擊場景

此次攻擊，可謂有備而來，在繞開防毒軟體的思考上做足了功夫。

如上圖，appmg.dll是載入病毒體（system32目錄下），負責載入挖礦功能。wvms_dp.inf是挖礦密文資料，即其二進位制是經過特殊加密處理的，不能直接被執行。由於密文檔案不是pe格式等可執行檔案，殺軟自然掃描不出來。此外，為了保證免殺效果，又將解密後的挖礦病毒體注入到系統程序中執行。

攻擊順序如下：

1) 首先，當appmg.dll第一次被載入的時候，會註冊svchost服務，後續則通過系統程序svchost.exe實現開機自啟動。

2) 其次，appmg.dll被載入後，會讀取wvms_dp.inf檔案資料，進行解密。

3) 然後，將解密後的wvms_dp.inf資料（即挖礦二進位制模組）注入到新啟動的svchost.exe程序裡面。

4) 最後，注入成功後的系統程序svchost.exe具備了挖礦功能，從wmixml.dat中讀取挖礦配置資訊，進行挖礦。

溯源分析

以上是病毒的運作原理。但病毒從哪裡來？EDR安全團隊瞭解獲知，該企業有不少於十臺的伺服器中招，但我們逆向的結果顯示，此挖礦病毒並不具備橫向傳播能力，因此初步分析是內網某臺伺服器被滲透（黑客攻擊成功後，再利用該伺服器進行內網滲透）。

與預想的一致，該企業確實有一臺對外的Web伺服器，而其它的伺服器都處在內網環境。安全團隊從此臺Web伺服器入手，使用EDR WebShell查殺工具進行掃描，發現了大量的網頁木馬。

此外，分析發現，還存在一個可以遠端執行任意命令的木馬，由此斷定此Web伺服器已完全淪陷（安全團隊嘗試從外網對該站點進行滲透，同樣發現可攻擊成功）。

被滲透成功後的Web伺服器上，安全團隊發現了與wmixml挖礦相關的病毒體。由於該Web伺服器被完全控制，黑客甚至開了一個具備系統許可權的新賬號SystemD，由此在內網撕開一個口子，進行任意攻擊。

危害與啟示

wmixml挖礦病毒的危害是顯而易見的，即長期壓榨受害者主機效能，為黑客默默賺外快。此外本次安全團隊發現wmixml挖礦病毒在隱蔽性方面做的非常高明。一般的挖礦，通常會盡可能多的壓榨受害者CPU，使之長期達到80%以上的佔用率。但這個作者，卻嚴格限制並穩定在25%的CPU佔用率。

在此限制下，由於佔用率不是太高，一般使用者難以察覺系統已出問題。

另外，黑客深知普通挖礦程式可以被防毒軟體查殺出來。為了避免被殺，黑客對挖礦程式進行了特殊加密，並將解密後的挖礦程式碼注入到系統程序中（如上圖僅僅只在記憶體中，安全團隊才能觀察到挖礦字元特徵）。通常來說，殺軟不敢輕易對系統程序下手，病毒因此有了免死金牌！

解決方案：

1、隔離感染主機：已中毒計算機請儘快隔離，關閉所有網路連線，禁用網絡卡！

2、確認感染數量：推薦使用防火牆或者安全感知進行全網檢測，避免病毒持續潛伏！

3、查殺病毒：推薦使用僵屍網路查殺工具

4、修補漏洞：如果內網使用了JBoss，請確認好版本並修補相關漏洞。

5、修改密碼：如果主機賬號密碼比較弱，建議重置高強度的密碼。

* 本文作者千里目安全實驗室，轉載註明來自FreeBuf