近日,多家企业反馈大量pc和服务器存在卡顿和蓝屏现象,通过深信服终端检测平台(edr产品)进行全网扫描后发现感染相同病毒。经过深信服安全专家深入分析,发现这是一种新型的wannamine变种。由于之前已有wannamine1.0和版本,我们将其命名为wannamine3.0。
目前短时间内已有多家医院先后中招,传播速度惊人!未来,感染面很可能与原始变种wannamine1.0和wannamine2.0一样大!
病毒性质:挖矿病毒
影响范围:短时间内已有多家医院先后中招
危害等级:高危
传播方式:传播机制与wannacry勒索病毒一致,可在局域网内,通过smb快速横向扩散。
病毒分析
通过对捕获的样本进行分析,发现其接入站点已变更为codidled.com。经查验,这是一个2018年11月11日刚申请注册的域名,也就是说,黑客重新编译wannamine3.0的时间锁定为2018年11月11日或以后。
01、攻击场景
此次攻击,沿用了wannamine1.0和wannamine2.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。
所不同的是,原始“压缩包”已经变为marstracediagnostics.xml,其含有所需要的所有攻击组件。原始wannamine版本的压缩包可以直接解压,但此变种做了免杀,marstracediagnostics.xml是一个特殊的数据包,需要病毒自己才能分离出各个组件。其组件有spoolsv.exe、snmpstorsrv.dll等病毒文件,此外,还有“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。
其攻击顺序为:
1.主服务为snmpstorsrv,对应动态库为snmpstorsrv.dll(由系统进程svchost.exe加载),每次都能开机启动,启动后加载spoolsv.exe。2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)。
3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的ip由第2步确认),成功后spoolsv.exe(nsa黑客工具包doublepulsar后门)安装后门,加载payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)执行后,负责将marstracediagnostics.xml从本地复制到目的ip主机,再解压该文件,注册snmpstorsrv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。
c:\windows\system32\marstracediagnostics.xml
c:\windows\appdiagnostics\
wannamine3.0特意做了清理早期wannamine版本的动作,包括删除或者停掉wannamine1.0和wannamine2.0相关的文件、服务和计划任务等。
清理掉之前wannamine版本的病毒样本,如下图所示:
停掉wmassrv服务:
删除upnphostservices计划任务,如下所示:
删除enrollcertxaml.dll,如下所示:
结束永恒之蓝攻击程序以及挖矿程序进程,并删除相应的文件,如下所示:
相应的进程文件如下:
c:\windows\speechstracing\spoolsv.exec:\windows\system32\taskshostservices.exe
c:\windows\speechstracing\microsoft\svchost.exe
c:\windows\speechstracing\microsoft\spoolsv.exe
删除之前wmassrv.dll文件:
遍历之前版本目录下的文件,并删除。相应的目录为:
c:\windows\speechstracing\c:\windows\speechstracing\microsoft\
卸载之前的挖矿模块halpluginsservices.dll:
结束rundll32.exe进程,并删除相应挖矿的文件。
wannamine3.0沿用wannamine1.0和wannamine2.0的套路,同样是瞄准了大规模的集体挖矿(利用了“永恒之蓝”漏洞的便利,迅速使之在局域网内迅猛传播),挖矿主体病毒文件为trustedhostex.exe。
其连入地址为codidled.com:
凯发登录的解决方案
病毒检测查杀
2、深信服edr产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测。其中edr产品,采用深信服save智能安全检测引擎,通过人工智能自主学习自动识别未知威胁,无需任何升级即可自主检测查杀该新变种。
病毒防御
2、不要点击来源不明的邮件附件,不从不明网站下载软件。
3、尽量关闭不必要的文件共享权限。
4、深信服下一代防火墙客户,建议升级到af805版本,并开启智能安全检测引擎save,以达到更好的防御效果。
咨询与服务
1)拨打电话400-630-6430转6号线(已开通病毒专线)
2)关注【深信服技术服务】微信公众号,选择“智能服务”菜单,进行咨询
3)pc端访问深信服区 ,选择右侧智能客服,进行咨询