亚信安适颁布最新病毒预警 挖矿病毒WannaMine又出4.0版

时间:2022-05-13 20:20:00


近日,亚信安适截获WannaMine挖矿病毒最新变种文件,该变种文件基于WannaMine3.0改造,插手了一些新的免杀技术,其流传机制与WannaCry勒索病毒一致,可在局域网内通过SMB快速横向扩散,我们将其定名为WannaMine 4.0。亚信安适检测名为Coinminer.Win64.TOOLXMR.AR。
 
WannaMine 4.0技术细节分析
这次打击流程与WannaMine3.0类似,其涉及的病毒模块多,传染面广,关系庞大。
 

亚信安适颁布最新病毒预警 挖矿病毒WannaMine又出4.0版

 
原始“压缩包”rdpkax.xsl含有打击需要的所有组件,其是一个特殊的数据包,需要病毒本身解密疏散出各个组件,其组件包罗“永恒之蓝”缝隙打击工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。
 

亚信安适颁布最新病毒预警 挖矿病毒WannaMine又出4.0版

 
打击流程:
• 主处事RemoteTimeHost.dll(亚信安适已经拦截该文件,将其定名为*.Win64.VOOLS.AC)由系统进程加载,以确保每次都能开机启动,启动后加载spoolsv.exe。

• spoolsv.exe对局域网进行445端口扫描,确定可打击的内网主机。同时启动缝隙打击措施svchost.exe。

• svchost.exe执行“永恒之蓝”缝隙打击,告成后安置后门措施spoolsv.exe,加载payload(x86.dll/x64.dll)。

• payload(x86.dll/x64.dll)执行后,复制rdpkax.xsl到方针主机,解密后注册主处事,进行新的打击,每一台被打击机器都反复着同样的打击流程。

 
与WannaMine3.0差此外是,该变种使用了处事文件名称和内容的随机行来进行免杀,进而payload文件与之前版真对比也产生了变革。主处事的定名法则为“字符串1+字符串2+字符串3”,如上面提及的RemoteTimeHost,即Remote+Time+Host。
 

亚信安适颁布最新病毒预警 挖矿病毒WannaMine又出4.0版

 
字符串1列表:Windows、Microsoft、Network、Remote、Function、Secure、Application
 
字符串2列表:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
 
字符串3列表:Service、Host、Client、Event、Manager、Helper、System
 

亚信安适颁布最新病毒预警 挖矿病毒WannaMine又出4.0版

 
WannaMine4.0挖矿主体病毒文件为dllhostex.exe,卖力挖取门罗币。
 
亚信安适教你如何防止

• 操作系统防火墙高级设置阻止向445端口进行连接(该操纵会影响使用445端口的处事);

• 尽量*不须要的文件共享;

• 给与高强度的暗码,制止使用弱口令暗码,并按期改换暗码;

• 打开系统自动更新,并检测更新进行安置。

• 系统打上MS17-010对应的Microsoft Windows SMB 处事器安适更新 (4013389)补丁措施。详细信息请参考链接:?q=MS17-010

 
亚信安适产品解决方案

亚信安适病毒码版本14.893.60,云病毒码版本14.893.71,全球码版本14.895.00已经可以检测,请用户及时升级病毒码版本。
 
亚信安适OSCE VP / DS DPI开启以下法则拦截该缝隙:

• 1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)

• 1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)

• 1008227 - Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)

• 1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)

• 1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

 
亚信安适深度发明设备TDA检测法则如下:

• 2383:CVE-2017-0144-Remote Code Executeion-SMB(Request)

 
亚信安适Deep Edge已颁布了针对微软长途代码执行缝隙CVE-2017-0144的4条IPS法则:

• 法则名称:微软MS17 010 SMB长途代码执行1-4,法则号:1133635,1133636,1133637,1133638