網(wǎng)絡安全 - 挖礦病毒W(wǎng)annaMine升級重來

-3-網(wǎng)絡安全|挖礦病毒W(wǎng)annaMine升級重來近日，平安團隊截獲WannaMine挖礦病毒最新變種文件，該變種文件基于WannaMine3.0改進，加入了一些新的免殺技術，其傳播機制與WannaCry勒索病毒全都，可在局域網(wǎng)內(nèi)通過SMB快速橫向集中，將其命名為WannaMine4.0，其檢測名為Coinminer.Win64.TOOLXMR.AR。近日，平安團隊截獲WannaMine挖礦病毒最新變種文件，該變種文件基于WannaMine3.0改進，加入了一些新的免殺技術，其傳播機制與WannaCry勒索病毒全都，可在局域網(wǎng)內(nèi)通過SMB快速橫向集中，將其命名為WannaMine4.0，其檢測名為Coinminer.Win64.TOOLXMR.AR。

WannaMine4.0技術細節(jié)分析

此次攻擊流程與WannaMine3.0類似，其涉及的病毒模塊多，感染面廣，關系簡單。

原始"壓縮包'rdpkax.xsl含有攻擊需要的全部組件，其是一個特別的數(shù)據(jù)包，需要病毒自己解密分別出各個組件，其組件包含"永恒之藍'漏洞攻擊工具集（svchost.exe、spoolsv.exe、x86.dll/x64.dll等）。

攻擊流程：

1.主服務RemoteTimeHost.dll（已經(jīng)攔截該文件，將其命名為Trojan.Win64.VOOLS.AC）由系統(tǒng)進程加載，以確保每次都能開機啟動，啟動后加載spoolsv.exe。2.spoolsv.exe對局域網(wǎng)進行445端口掃描，確定可攻擊的內(nèi)網(wǎng)主機。同時啟動漏洞攻擊程序svchost.exe。3.svchost.exe執(zhí)行"永恒之藍'漏洞攻擊，勝利后安裝后門程序spoolsv.exe，加載payload（x86.dll/x64.dll）。

4.payload（x86.dll/x64.dll）執(zhí)行后，復制rdpkax.xsl到目標主機，解密后注冊主服務，進行新的攻擊，每一臺被攻擊機器都重復著同樣的攻擊流程。

與WannaMine3.0不同的是，該變種使用了服務文件名稱和內(nèi)容的隨機行來進行免殺，進而payload文件與之前版本相比也發(fā)生了變化。主服務的命名規(guī)章為"字符串1+字符串2+字符串3',如上面提及的RemoteTimeHost，即Remote+Time+Host。

字符串1列表：Windows、Microsoft、Network、Remote、Function、Secure、Application

字符串2列表：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP

字符串3列表：Service、Host、Client、Event、Manager、Helper、System

WannaMine4.0挖礦主體病毒文件為dllhostex.exe，負責挖取門羅幣。

如何防范

作為區(qū)塊鏈的技術人員，我們供應以下防范措施：

1.利用系統(tǒng)防火墻高級設置阻擋向445端口進行連接（該操作會影響使用445端口的服務）。

2.盡量關閉不必要的文件共享；

3.采納高強度的密碼，避開使用弱口令密碼，并定期更換密碼；

4.打開系統(tǒng)自動更新，并檢測更新進行