首页 > 挖矿 > 资讯 > 深信服重大发现:WannaMine开始变种挖矿!

深信服重大发现:WannaMine开始变种挖矿!  资讯

2018-05-15   09:22             评论:0         阅读:

近日,深信服终端检测平台进行全网扫描后发现存在大量主机感染相同病毒。经过深信服安全专家深入分析,发现这是一种最新型的WannaMine变种。

        近日,国内某企业疑内网有主机受病毒感染,通过深信服终端检测平台进行全网扫描后发现存在大量主机感染相同病毒。经过深信服安全专家深入分析,发现这是一种最新型的WannaMine变种。该变种基于WannaMine改造,加入了一些免杀技术,传播机制与WannaCry勒索病毒一致,深信服将其命名WannaMine2.0,同时制定了详细的应对措施。

 

        目前,该企业为国内发现感染WannaMine2.0的首例,发现时间与国际上首例发现时间相距仅为2天,传播快速,未来很有可能感染面跟原始变种WannaMine一样惊人!

 

深信服重大发现:WannaMine开始变种挖矿!

 

病毒分析

 

       此次 WannaMine 2.0变种,沿用了WannaMine的精心设计,涉及的病毒模块多,感染面广。与此同时,该变种具备免杀功能,查杀难度高。一旦出现主机受感染,利用“永恒之蓝”漏洞,最终将造成局域网内大量主机都被感染并进行挖矿

 

攻击场景

 

       1.HalPluginsServices.dll是主服务,每次都能开机启动,启动后加载spoolsv.exe。

 

       2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)。

 

       3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。

 

       4.payload(x86.dll/x64.dll)执行后,负责将EnrollCertXaml.dll从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。

 

        WannaMine 2.0变种包含的病毒文件,主要释放在下列文件目录中:

 

       C:\Windows\System32\EnrollCertXaml.dll

       C:\Windows\SpeechsTracing\

       C:\Windows\SpeechsTracing\Microsoft\

 

网络行为

 

      检测到WannaMine2.0的C&C服务器为:

      task.attendecr.com

      scan.attendecr.com

      error.attendecr.com

 

      局域网传播上,仍然是沿用WannaMine的机制。通过spoolsv.exe和svchost.exe配合,利用永恒之蓝漏洞进行攻击,实现病毒自我复制到目标主机上。

 

       有别于WannaMine, 此次变种2.0删除了自更新机制,包括外网更新和局域网更新两个方面。另外,也不再创建微型Web服务端,供内网其它无法上网的主机下载更新。意味着感染主机不再做病毒更新。

 

攻击危害:集体挖矿

 

        WannaMine2.0沿用WannaMine的套路,同样是瞄准了大规模的集体挖矿(利用了“永恒之蓝”漏洞的便利,使之在局域网内迅猛传播),矿池站点任然指向nicehash.com、minergate.com。

 

解决方案

 

        1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

 

        2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。深信服下一代防火墙用户,可开启IPS和僵尸网络功能进行封堵,其中僵尸网络识别库请升级到20180509及以上版本。

 

        3、查找攻击源:手工抓包分析或借助深信服安全感知快速查找攻击源,避免更多主机持续感染。

 

       4、查杀病毒:推荐使用深信服EDR进行病毒查杀,快速分析流行事件,实现终端威胁闭环处置响应。

 

       5、修补漏洞:为内网所有主机打上“永恒之蓝”漏洞补丁。

 

       比特之窗了解到,目前这种变种病毒已经得到控制,深信服已经采取了相应的措施,积极应对即将到来和可能到来的问题。我们也相信,WannaMine将在短期内得到解决。



挖矿

版权声明:本文系比特之窗作者原创稿件,版权归比特之窗所有。转载须注明“文章来源,比特之窗”,违者必究。

上一篇:挖矿公司嘉楠耘智计划赴港IPO
下一篇:数字黄金可以挖比特币了!

阅读排行榜

频道入口: 行情 区块链技术 比特币 竞争币 ICO 专栏 论坛 导航 创投 百科 科技 今日行情 活动峰会 原创 独家 专题 24H快讯 交易所公告

比特之窗
APP
扫码下载

比特之窗
微信公众号
LianBtc789

比特之窗
官方QQ群
697983415