近日,安全團(tuán)隊(duì)截獲WannaMine挖礦病毒最新變種文件,該變種文件基于WannaMine3.0改進(jìn),加入了一些新的免殺技術(shù),其傳播機(jī)制與WannaCry勒索病毒一致,可在局域網(wǎng)內(nèi)通過(guò)SMB快速橫向擴(kuò)散,將其命名為WannaMine 4.0,其檢測(cè)名為Coinminer.Win64.TOOLXMR.AR。
WannaMine 4.0技術(shù)細(xì)節(jié)分析
此次攻擊流程與WannaMine3.0類似,其涉及的病毒模塊多,感染面廣,關(guān)系復(fù)雜。
原始“壓縮包”rdpkax.xsl含有攻擊需要的所有組件,其是一個(gè)特殊的數(shù)據(jù)包,需要病毒自己解密分離出各個(gè)組件,其組件包含“永恒之藍(lán)”漏洞攻擊工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。
攻擊流程:
1.主服務(wù)RemoteTimeHost.dll(已經(jīng)攔截該文件,將其命名為Trojan.Win64.VOOLS.AC)由系統(tǒng)進(jìn)程加載,以確保每次都能開機(jī)啟動(dòng),啟動(dòng)后加載spoolsv.exe。2.spoolsv.exe對(duì)局域網(wǎng)進(jìn)行445端口掃描,確定可攻擊的內(nèi)網(wǎng)主機(jī)。同時(shí)啟動(dòng)漏洞攻擊程序svchost.exe。3.svchost.exe執(zhí)行“永恒之藍(lán)”漏洞攻擊,成功后安裝后門程序spoolsv.exe,加載payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)執(zhí)行后,復(fù)制rdpkax.xsl到目標(biāo)主機(jī),解密后注冊(cè)主服務(wù),進(jìn)行新的攻擊,每一臺(tái)被攻擊機(jī)器都重復(fù)著同樣的攻擊流程。
與WannaMine3.0不同的是,該變種使用了服務(wù)文件名稱和內(nèi)容的隨機(jī)行來(lái)進(jìn)行免殺,進(jìn)而payload文件與之前版本相比也發(fā)生了變化。主服務(wù)的命名規(guī)則為“字符串1+字符串2+字符串3”,如上面提及的RemoteTimeHost,即Remote+Time+Host。
字符串1列表:Windows、Microsoft、Network、Remote、Function、Secure、Application
字符串2列表:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
字符串3列表:Service、Host、Client、Event、Manager、Helper、System
WannaMine4.0挖礦主體病毒文件為dllhostex.exe,負(fù)責(zé)挖取門羅幣。
如何防范
作為區(qū)塊鏈的技術(shù)人員,我們提供以下防范措施:
1.利用系統(tǒng)防火墻高級(jí)設(shè)置阻止向445端口進(jìn)行連接(該操作會(huì)影響使用445端口的服務(wù))。
2.盡量關(guān)閉不必要的文件共享;
3.采用高強(qiáng)度的密碼,避免使用弱口令密碼,并定期更換密碼;
4.打開系統(tǒng)自動(dòng)更新,并檢測(cè)更新進(jìn)行安裝;
5.系統(tǒng)打上MS17-010對(duì)應(yīng)的Microsoft Windows SMB 服務(wù)器安全更新 (4013389)補(bǔ)丁程序。