免费热线:400-655-8606
当前位置:首页 >最新动态

WannaMine4.0 警惕感染

发布者:ITGO-IT购 时间:2019-03-21

PC-ITGO-0-3.jpg

ITGO专业提供网络基础架构VMware产品和维保服务,即刻致电400-655-8606


近日,多家医疗机构反馈大量主机和服务存在卡顿和蓝屏现象,深信服安全团队研究发现,该现象源于感染挖矿病毒WannaMine最新变种。

此病毒变种,是基于WannaMine3.0改造,又加入了一些新的免杀技术,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散),故我们将其命名WannaMine4.0。

由于近日短时间有多家医疗机构感染,传播速度快,未来感染面很可能与原始变种WannaMine1.0、WannaMine2.0和WannaMine3.0一样大。深信服建议广大用户做好安全防护措施,防范WannaMine4.0 入侵。

病毒名称:WannaMine4.0

病毒性质:挖矿蠕虫

影响范围:国内已有多家医疗机构受感染,未来可能影响多行业用户

危害等级:高危

传播方式:传播机制与WannaCry勒索病毒一致,可在局域网内,通过SMB快速横向扩散。

病毒描述

通过对捕获的样本进行分析,发现其接入站点已变更为totonm.com。经查验,这是一个2019年3月17日刚申请注册的域名。

病毒s.jpg

病毒编译时间为2019年3月18日,也就是说17号注册域名,18号编译好病毒样本,并开始传播病毒,深信服于20号,国内首家发现此新型变种。

病毒1.jpg

01攻击场景

此次攻击,沿用了WannaMine3.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。

病毒2.jpg

所不同的是,原始“压缩包”已经变为rdpkax.xsl,其含有所需要的所有攻击组件。此变种与之前3.0版本一样,同样做了免杀。rdpkax.xsl是一个特殊的数据包,只能病毒本身自行解密分离出各个组件,其组件包含“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。

该变种的病毒文件,释放在下列文件目录中:

C:\Windows\System32\rdpkax.xsl

C:\Windows\System32\dllhostex.exe

C:\Windows\System32\ApplicationNetBIOSClient.dll

C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll

C:\Windows\SysWOW64\dllhostex.exe

C:\Windows\NetworkDistribution

其攻击顺序为:

1.主服务为ApplicationNetBIOSClient(随机组合生成),对应动态库为ApplicationNetBIOSClient.dll(由系统进程svchost.exe加载),每次都进行开机启动,启动后加载spoolsv.exe。

2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另一个病毒文件)。

3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。

4.payload(x86.dll/x64.dll)执行后,负责将rdpkax.xsl从本地复制到目的IP主机,注册ApplicationNetBIOSClient主服务,再解密文件,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。

02组合变形与免杀

WannaMine4.0与早期版本相比,最强特征是加了组合变形与免杀。

组合变形表现为主服务模块由下列字符串随机组合生成:

病毒3.jpg

其中字符串列表1为:

Windows、Microsoft、Network、Remote、Function、Secure、Application

字符串列表2为:

Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP

字符串列表3为:

Service、Host、Client、Event、Manager、Helper、System

生成的加密数据包名后缀列表为:

xml、log、dat、xsl、ini、tlb、msc

比如前面举例的主服务模块 ApplicationNetBIOSClient由字符串1 Application + 字符串2 NetBIOS + 字符串3 Client 生成。动态库而随着主服务模块变化而变化。

病毒4.jpg

03挖矿

WannaMine4.0与早期WannaMine家族一样,瞄准了大规模的集体挖矿(利用了“永恒之蓝”漏洞的便利,迅速使之在局域网内迅猛传播),挖矿主体病毒文件为dllhostex.exe。也正是因为利用了“永恒之蓝”漏洞攻击,除了中招主机业务卡顿之外,还有可能造成蓝屏,极大威胁用户业务安全。

其挖矿程序连接矿池为cake.pilutce.com:443。

病毒5.jpg

获取到相应的数据包,如下所示:

病毒6.jpg

解决方案

病毒检测查杀:

1、深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

病毒7.jpg

2、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测:

病毒8.jpg

                                    如需购买欢迎致电:400-655-8606   13366111839 (24h Sales)                                            

北方翱翔信息工程技术(北京)有限公司(简称:北方翱翔www.northsoar.com成立于2011年,是一家专注云计算、智网络、智安全领域的解决方案服务、产品销售服务和专业技术服务的一站式云IT服务企业。集合 VMware代理  VMware金牌代理 。北方翱翔经营理念: 在追求全体员工物质和精神这两方面幸福的同时,为客户提供优质的服务,实现客户价值提升;提高企业价值,为社会的进步和发展做出贡献。

ITwww.360itgo.com是北方翱翔旗下一站式IT产品和服务B2B电商平台,商城产品包括云计算、云存储、云服务、云应用、网络设备、服务器、存储、虚拟化、安全产品、IT服务等,提供从咨询、采购、实施、运维到升级的全生命周期的一站式服务,IT购自建智能化仓储,现有自营库存超10000SKU,品类齐全、运转高效,确保能够完成当天99%的订单发货,凭借成熟的行业经验、独特的高增值专业服务和精细化的互联网电商运营模式,力求打造企业级IT服务的新标杆,给客户带来方便快捷,安全可靠的购买体验.

相关推荐

ITGO一站式企业IT产品和服务B2B平台

推荐产品