WannaMine升級到V3.0版本,警惕中招!
近日,多個企業反饋大量主機和服務存在卡頓和藍屏現象,在尋求深信服協助後,部署了深信服終端檢測平臺(EDR),使用EDR進行全網掃描發現大量主機感染了相同的病毒。
深信服安全團隊研究發現,該企業使用者中的是最新型的WannaMine變種,之前有WannaMine1.0和WannaMine2.0版本。
此病毒變種,是基於WannaMine改造,加入了一些免殺技術,傳播機制與WannaCry勒索病毒一致(可在區域網內,通過SMB快速橫向擴散),故我們將其命名WannaMine3.0。
國內外發現的首例,國內安全廠商還沒有相關報道。
我們對捕獲的樣本進行分析,發現其接入站點已變更為codidled.com。經查驗,這是一個2018年11月11日剛申請註冊的域名,也就是說,黑客重新編譯WannaMine3.0的時間鎖定為2018年11月11日或以後。
近日,多家醫院先後中招,我們對其傳播速度深感驚訝!未來,感染面也會跟原始變種WannaMine1.0和WannaMine2.0一樣驚人!
0×01 攻擊場景
此次攻擊,沿用了WannaMine1.0和WannaMine2.0的精心設計,涉及的病毒模組多,感染面廣,關係複雜。
所不同的是,原始“壓縮包”已經變為 MarsTraceDiagnostics.xml ,其含有所需要的所有攻擊元件。舊病毒的壓縮包是可以直接解壓的,但此變種做了免殺,MarsTraceDiagnostics.xml是一個特殊的資料包,需要病毒自己才能分離出各個元件。其元件有 spoolsv.exe 、 snmpstorsrv.dll 等病毒檔案,此外,還有“永恆之藍”漏洞攻擊工具集( svchost.exe 、 spoolsv.exe 、 x86.dll/x64.dll 等)。
本文所述病毒檔案,釋放在下列檔案目錄中:
C:\Windows\System32\MarsTraceDiagnostics.xml C:\Windows\AppDiagnostics\ C:\Windows\System32\TrustedHostex.exe
攻擊順序:
1.有一個主服務 snmpstorsrv ,對應動態庫為 snmpstorsrv.dll (由系統程序svchost.exe載入),每次都能開機啟動,啟動後加載 spoolsv.exe 。
2. spoolsv.exe 對區域網進行445埠掃描,確定可攻擊的內網主機。同時啟動漏洞攻擊程式 svchost.exe 和 spoolsv.exe (另外一個病毒檔案) 。
3. svchost.exe 執行“永恆之藍”漏洞溢位攻擊(目的IP由第2步確認),成功後 spoolsv.exe (NSA黑客工具包DoublePulsar後門)安裝後門,載入payload( x86.dll/x64.dll )。
4. payload ( x86.dll/x64.dll )執行後,負責將 MarsTraceDiagnostics.xml 從本地複製到目的IP主機,再解壓該檔案,註冊 snmpstorsrv 主服務,啟動 spoolsv 執行攻擊(每感染一臺,都重複步驟1、2、3、4)。
0×02 清理早期WannaMine版本
WannaMine3.0特意做了清理早期WannaMine版本的動作,包括刪除或者停掉WannaMine1.0和WannaMine2.0相關的檔案、服務和計劃任務等。
清理掉之前WannaMine版本的病毒樣本,如下所示:
1.停掉wmassrv服務,如下所示:
2.刪除UPnPHostServices計劃任務,如下所示:
3.刪除EnrollCertXaml.dll,如下所示:
4.結束永恆之藍攻擊程式以及挖礦程式程序,並刪除相應的檔案,如下所示:
相應的程序檔案如下:
C:\Windows\SpeechsTracing\spoolsv.exe C:\Windows\System32\TasksHostServices.exe C:\Windows\SpeechsTracing\Microsoft\svchost.exe C:\Windows\SpeechsTracing\Microsoft\spoolsv.exe
5.刪除之前wmassrv.dll檔案,如下所示:
6.遍歷之前版本目錄下的檔案,然後刪除,如下所示:
相應的目錄,如下所示:
C:\Windows\SpeechsTracing\ C:\Windows\SpeechsTracing\Microsoft\
7.解除安裝之前的挖礦模組HalPluginsServices.dll,如下所示:
結束rundll32.exe程序,如下所示:
並刪除相應挖礦的檔案。
0×03 挖礦
WannaMine3.0沿用WannaMine1.0和WannaMine2.0的套路,同樣是瞄準了大規模的集體挖礦(利用了“永恆之藍”漏洞的便利,迅速使之在區域網內迅猛傳播),挖礦主體病毒檔案為TrustedHostex.exe。
連入地址為codidled.com。
0×04 解決方案
1.隔離感染主機:已中毒計算機儘快隔離,關閉所有網路連線,禁用網絡卡。
2.切斷傳播途徑:關閉潛在終端的SMB 445等網路共享埠,關閉異常的外聯訪問。深信服下一代防火牆使用者,可開啟IPS和殭屍網路功能,進行封堵。
3.查詢攻擊源:手工抓包分析或藉助深信服安全感知。
4.查殺病毒:推薦使用深信服EDR進行查殺。
5.修補漏洞:打上“永恆之藍”漏洞補丁,請到微軟官網,下載對應的漏洞補丁( ofollow,noindex" target="_blank">https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx )。
*本文作者:千里目安全實驗室,轉載請註明來自FreeBuf.COM