近日,江民安全实验室监测到了一种新型“门罗币”挖矿病毒,利用“永恒之蓝”(ms17-010)漏洞组建僵尸网络进行挖矿牟利,感染后的主机同时会尝试感染其他主机,最终使得整个网络成为一片僵尸网络。1 病毒信息病毒名称: | | | | | 7D3CF6BCE43A115399F0DAAA4B425417 | | 611B8BDBA97FBF042B3A35277DD641FEE753AD01 | | | | | | | | 未安装ms17-010漏洞补丁的全版本Windows系统 |
2病毒概况近期,江民安全实验室发现有攻击者利用ms17-010(永恒之蓝)漏洞组建僵尸网络进行门罗币挖矿操作,该病毒将主模块通过自定义的加密方式存放到资源节进行静态免杀,同时在其模块内部还直接包含了NSA泄露的ms17-010漏洞利用包,最终利用该漏洞进行病毒的传播感染。该病毒还包含了更新模块,实现了HTTP和TCP通信,可接受远程服务器的命令和数据,从而执行任意代码。被感染的主机还会安装开源Web服务器模块mongoose用于感染过程中传输关键的二进制加密文件EnrollCertXaml.dll,感染部署过程中会进行有针对性的清理工作,用于清理之前感染的门罗币挖矿程序,从而重新感染部署该病毒程序。
感染流程图 3 病毒危害感染该病毒后,用户主机将会被黑客用于挖掘门罗币从而使系统使用性能降低。感染后的主机将完全被控制,每隔0.5小时病毒会与远程C&C服务器进行通信,用于更新下载感染部署模块,同时黑客可以通过该病毒远程执行任意代码,可以远程下载任意文件并执行。感染后的主机同时会尝试感染其他主机,最终使得整个网络成为一片僵尸网络。 4文件行为释放加密二进制文件EnrollCertXaml.dll。 释放主模块感染部署程序wmassrv.dll。 释放病毒运行过程中的感染配置文件WMASTrace.ini。 尝试删除系统中之前感染的门罗币挖矿组件程序。 释放压缩包文件Crypt,解压后内部包含NSA泄露的漏洞利用包。 5进程行为将释放的wmassrv.dll注册为服务并启动,服务名为wmassrv。 释放系统中之前感染僵尸网络程序创建的互斥体。 创建新的进程TasksHostServices.exe用于门罗币挖矿操作。 创建新的进程spoolsv.exe用于利用ms17-010漏洞传播感染。 6注册表行为创建注册表: HKLM\SYSTEM\CurrentControlSet\Services\wmassrv。 HKLM\SYSTEM\CurrentControlSet\Services\wmassrv\Parameters。 设置注册表: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost\netsvcs。 HKLM\System\CurrentControlSet\services\wmassrv\Description。 HKLM\System\CurrentControlSet\services\wmassrv\Parameters\ServiceDll。 7 网络行为尝试与sand.lcones.com和plam.lcones.com域名进行通信。 尝试访问域名内容sand.lcones.com/resource。 尝试下载域名内容plam.lcones.com/modules.dat。 尝试与域名tecate.traduires.com进行http通信。 尝试与域名split.despcartes.tk进行tcp通信。 8手工清除方法在Windows服务管理中心停止并卸载病毒主程序服务wmassrv,并删除病毒主程序C:\Windows\System32\wmassrv.dll。 删除传播过程中的关键模块C:\Windows\System32\EnrollCertXaml.dll。 删除传播感染配置文件C:\Windows\System32\WMASTrace.ini。 删除释放的挖矿程序C:\Windows\System32\TasksHostServices.exe。 删除释放的传播模块C:\Windows\SpeechsTracing\spoolsv.exe。 删除释放的NSA漏洞利用包,即C:\Windows\SpeechsTracing\Microsoft\目录下所有文件。 删除病毒配置的注册表项: HKLM\SYSTEM\CurrentControlSet\Services\wmassrv。 9应对措施及建议1、建议用户及时打上ms17-010漏洞,防止利用此漏洞的病毒进行大肆传播。 2、建议用户安装杀毒软件并开启文件监控,使此类型攻击在文件落地瞬间即被查杀,从而保证用户不被恶意代码感染。 3、建议用户保持良好的上网习惯,不要随意打开来路不明的应用程序。 4、建议用户对于可疑的文档文件使用杀毒软件扫描后再打开,防止恶意代码利用文档漏洞进行传播运行。 5、如果平时不使用文件共享操作,建议用户关闭445端口杜绝此类型漏洞危害。
| 
发表于 2018-5-24 20:07:32
楼主