X
    请选择要咨询的内容
    下一代防火墙NGAF/云守 上网行为管理AC/SG SSL VPN/EMM IPSec VPN/MIG 广域网优化WOC 应用交付AD 桌面云aDesk 企业级云aCloud
    开始咨询

    新闻动态

    News

    永恒之蓝热度不减,ag8亚游集团发现WmSrvMiner新型病毒

    / 2018-09-11
    近期,ag8亚游集团安全专家追踪发现了一利用永恒之蓝的新型病毒,主机感染量超过15万,中毒主机主要是被用于挖矿,多表现为异常卡顿,严重影响主机性能和业务正常运行。ag8亚游集团将其命名为WmSrvMiner,并制定了相应的防护措施。

    该病毒基于永恒之蓝的漏洞攻击,传播速度极快,内网可在短时间内失陷,此病毒会持续扩大范围,ag8亚游集团提醒用户积极打上 MS17-010漏洞补丁,小心中招!


    病毒名称:WmSrvMiner
    病毒性质:新型挖矿病毒
    影响范围:超15万主机感染量
    危害等级:高危
    传播方式:利用永恒之蓝漏洞在局域网横向扩散

    病毒分析

    WmSrvMiner,涉及的病毒模块多,查杀难度高,感染面广,关系复杂。


    01攻击场景

    中毒主机在C:\Windows目录下面,有一个svchost.exe的伪装程序,本质是WmSrvMiner的主体木马,为整个攻击的核心组件。一方面主体木马svchost.exe从HTTP下载站点http://103.55.13.68:13333/,下载NSA套装以及各种需要用的木马或者组件。另一方面,主体木马接收C2站点命令,执行加载器service.exe以及NSA套装。service.exe负责释放并加载挖矿进程。

    NSA套装存在于C:\Windows\security\IIS文件目录,包含永恒之蓝、永恒浪漫、双脉冲星等众多攻击组件,主要负责利用MS17-010漏洞,进行内网横向传播,危害很大。

    中毒主机,存在横向攻击行为


    02网络行为

    通过对主体木马进行逆向分析,发现其C2服务器为indonesias.website,其通过C2接收命令,命令主要是下载并运行指定的恶意文件。

    主体木马svchost.exe是一个典型的木马程序,逆向结果显示,有大量的命令处置流程,主要是为了配合云端,对中毒主机下载任意文件或执行任意命令。


    目前其HTTP下载站点的下载量已经达到15万+


    03漏洞利用

    中毒主机,会在局域网内,利用永恒之蓝漏洞,横向传播病毒。利用的仍然是NSA套装,包括但不限于永恒之蓝、永恒浪漫、双脉冲星,当然,还有NSSM、wget等辅助工具。


    04挖矿

    WmSrvMiner主要瞄准的是大规模的集体挖矿,通过利用了永恒之蓝漏洞的便利,迅速使之在局域网内迅猛传播,矿池站点指向indonesias.me。


    解决方案
    1、感染主机隔离
    已中毒主机尽快隔离,关闭所有网络连接,禁用网卡。

    2、病毒拦截
    1)切断传播途径:关闭SMB 445等网络共享端口,关闭异常的外联访问。
    2)ag8亚游集团防火墙用户,可升级僵尸网络识别库20180910,进行拦截防护。

    3、病毒检测
    ag8亚游集团防火墙及安全感知平台用户,可升级僵尸网络识别库20180910,进行病毒检测识别。
    ===

    4、病毒查杀
    1)ag8亚游集团免费提供病毒查杀工具帮助广大用户进行病毒查杀(下载地址为:http://edr.m-amo.com/)。
    2)推荐使用ag8亚游集团EDR进行病毒检测查杀,EDR基于人工智能无特征检测技术,能够及时识别新型病毒与变种。


    5、漏洞修复
    打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁(下载地址为:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

    咨询与服务
    您可以通过以下方式联系我们,获取关于
    WmSrvMiner的免费咨询及支持服务:
    1)拨打电话400-630-6430转6号线
    2)关注【ag8亚游集团技术服务】微信公众号,选择“智能服务”菜单,进行咨询
    3)PC端访问ag8亚游集团社区
    bbs.m-amo.com,选择右侧智能客服,进行咨询


    ©2000-2018    ag8亚游集团科技股份有限公司    版权所有     粤ICP备08126214号-5

    粤公网安备 44030502002384号