WannaMine3.0(CoinMiner)分析及防御方案

病毒名称:WannaMine3.0(CoinMiner)

病毒性质:挖矿病毒

危害等级:高危

传播方式:传播机制与WannaCry勒索病毒一致,可在局域网内,通过SMB快速横向扩散。

一、病毒分析

此病毒变种,是基于WannaMine改造,加入了一些免杀技术,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散)。

通过对捕获的样本进行分析,发现其接入站点已变更为junk.soqure.com。经查验,这是一个2013年11月19日申请注册的域名,更新时间在2018年11月24日也就是说,黑客重新编译WannaMine3.0的时间锁定为2018年11月24日或以后。

01、攻击场景

此次攻击,沿用了WannaMine1.0和WannaMine2.0的精心设计,涉及的病毒模块多,感染面广,关系复杂。

所不同的是,原始“压缩包”已经变为MarsTraceDiagnostics.xml,其含有所需要的所有攻击组件。原始WannaMine版本的压缩包可以直接解压,但此变种做了免杀,MarsTraceDiagnostics.xml是一个特殊的数据包,需要病毒自己才能分离出各个组件。其组件有spoolsv.exe、snmpstorsrv.dll等病毒文件,此外,还有“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。

其攻击顺序为:

1.主服务为snmpstorsrv,对应动态库为snmpstorsrv.dll(由系统进程svchost.exe加载),每次都能开机启动,启动后加载spoolsv.exe。

2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)。

3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。

4.payload(x86.dll/x64.dll)执行后,负责将MarsTraceDiagnostics.xml从本地复制到目的IP主机,再解 压该文件,注册snmpstorsrv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。

WannaMine 3.0变种包含的病毒文件,主要释放在下列文件目录中:
C:\Windows\System32\MarsTraceDiagnostics.xml(病毒组件文件)

C:\Windows\AppDiagnostics\(永恒之蓝利用code文件目录)

C:\WINDOWS\system32\TrustedHostex.exe(病毒主体)

02、挖矿程序

WannaMine3.0沿用WannaMine1.0和WannaMine2.0的套路,同样是瞄准了大规模的集体挖矿(利用了“永恒之蓝”漏洞的便利,迅速使之在局域网内迅猛传播),挖矿主体病毒文件为TrustedHostex.exe。

其连入地址(矿池)为junk.soquare.com:443【k -o junk.soquare.com:443 -u bch1 -p x -t 1 –donate-level=1–nicehas】

二、解决方案

01、确认感染

首先我们通过netstat–ano查看,发现感染机器不断通过445端口向外发送链接请求,其进程PID为2692。

02、确认病毒运行程序

通过PID进程号2962确认其进程运行程序,为wuauclt.exe的可执行程序(伪装成windows的自动更新程序,并把正常更新程序重命名为wuauclt1.exe)。

通过对wuauclt.exe进程程序进行监控,可以很清晰的看到其运行调用过程。

挖矿的永痕之蓝利用目录:C:\WINDOWS\AppDiagnostics

03、清理病毒运行程序

查杀重点:

C:\Windows\System32\MarsTraceDiagnostics.xml(病毒组件文件)

C:\Windows\AppDiagnostics\(永恒之蓝利用code文件目录)

C:\WINDOWS\system32\TrustedHostex.exe(病毒主体)

C:\WINDOWS\system32\wuauclt.exe(病毒进程程序)

查杀过后查看是否还存在不断通过445端口向外发送链接请求,不存在则查杀成功。成功完成查杀后的445端口情况:

>netstat-ano -P TCP | findstr “445”

三、防御方法

01、通过windows组策略关闭危险端口

这种方法,是通过自定义一个IP安全策略,将服务端口(以445为例)关闭掉,具体实现步骤为:

(1)在“开始”菜单选择“运行”,输入“gpedit.msc”或“secpol.msc”后回车,打开“本地组策略编辑器”或“本地安全设置”。依次展开“计算机配置—windows设置—安全设置—IP安全策略,在本地计算机”或者直接点击“IP安全策略,在本地计算机”,用鼠标右键单击该界面中的“IP安全策略,在本地计算机”选项,从打开的快捷菜单中单击“创建IP安全策略”选项,弹出一个创建向导界面。

(2)单击“下一步”按钮,然后在“名称”文本框中输入新创建的安全策略名称,例如这里输入的是“关闭445端口”,再单击“下一步”按钮,选中“激活默认响应规则”,其余参数均设置为默认值,就可以完成新安全策略的创建操作了。

(3)单击图中的“添加”按钮,弹出一个安全规则设置向导界面,单击“下一步”按钮,选中“此规则不指定隧道”选项,然后将“网络类型”设置为“所有网络连接”,接着选中“Active Directory默认值”选项,继续单击“下一步”按钮后,弹出一个IP筛选器列表界面。

(4)选择“所有IP通讯量”,单击该界面中的“编辑”按钮,将IP筛选器的名称设置为“阻止445端口”,单击“添加”按钮后,再将源地址设置为“任何IP地址”,将目标地址设置为“我的IP地址”,继续单击“下一步”按钮后,弹出协议类型选择框,将协议类型设置为“TCP”。

(5)接着,在弹出的窗口中,选中“从任意端口到此端口”选项,并将此端口设置为“445”。

(6)单击“完成”按钮,返回到IP筛选器列表页面中单击“确定”按钮。

(7)在“安全规则向导”中选中“阻止445端口”筛选器,单击“下一步”按钮,并从随后打开的窗口中选中“需要安全”选项并单击“编辑”按钮,在“安全措施”选项卡中选择“阻止”,在“常规”选项卡中把名称改为“阻止”,单击“确定按钮”。

(8)再单击“下一步”、“完成”按钮,就可以将“阻止445端口”的筛选器,添加到名为“关闭445端口”的IP安全策略中了,再单击“确定”按钮,返回到“本地安全设置”窗口中。

(9)最后,在“本地安全设置”窗口中,右击“关闭445端口”策略,从弹出的快捷菜单中,依次单击“所有任务”→“指派命令”,就能使上述设置生效。

02、通过注册表关闭危险端口

(1)首先,来查看下系统当前都开放了什么端口,怎样查看呢?调出cmd命令行程序,输入命令“netstat –an“,可以看到。

(2)接着,可以发现当前系统开放了135、445以及5357端口,而且从状态看都处于监听状态“Listening”。

(3)然后,确认自己的系统已经开放了445端口之后,我们开始着手关闭这个高危端口。首先进入系统的“注册表编辑器”,步骤是:依次点击“开始”->“运行”或者“WIN+R”,输入regedit进入“注册表编辑器”。

(4)接着,依次点击注册表选项

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters”,进入NetBT这个服务的相关注册表项。

(5)然后,在Parameters这个子项的右侧,点击鼠标右键,“新建”->“QWORD(64位)值”,然后重命名为“SMBDeviceEnabled”,再把这个子键的值改为0。

(6)接着,如果你的系统为windowsxp系统的话,那么重新启动就可以关闭系统的445端口了。但是如果是windows 7系统的话,这样还不行!你还要做的就是把操作系统的server服务关闭,依次点击“开始”->“运行”,输入services.msc,进入服务管理控制台。

(7)然后,找到server服务,双击进入管理控制页面。把这个服务的启动类型更改为“禁用”,服务状态更改为“停止”,最后点击应用即可。

03、通过开启Windows系统防火墙来阻挡攻击

(1)首先,“控制面板”->“系统和安全”->“Windows防火墙”->“高级设置”。

(2)然后,“入站规则”->“新建规则”。

(3)然后,规则类型选择端口。

(4)然后,“TCP或UDP协议”->“特定端口445等”。

(5选择“阻止连接”。

(6)选择何时何类网络链接时应用该规则。

(7)起个易懂清晰明了的名称。

04、通过安全设备(入侵防御系统、防火墙等)进行端口过滤。

05、建议及时更新系统,及时更新安全补丁。

备注:本文参考链接【http://www.sangfor.com.cn/about/source-news-company-news/1169.html】null

为您推荐

发表评论

电子邮件地址不会被公开。 必填项已用*标注

14 − 13 =