压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

亞信安全發布最新病毒預警,挖礦病毒WannaMine又出4.0版

責編:gltian |2019-04-03 15:56:57

近日,亞信安全截獲WannaMine挖礦病毒最新變種文件,該變種文件基于WannaMine3.0改進,加入了一些新的免殺技術,其傳播機制與WannaCry勒索病毒一致,可在局域網內通過SMB快速橫向擴散,我們將其命名為WannaMine 4.0。亞信安全檢測名為Coinminer.Win64.TOOLXMR.AR。

WannaMine 4.0技術細節分析

此次攻擊流程與WannaMine3.0類似,其涉及的病毒模塊多,感染面廣,關系復雜。

image003

原始“壓縮包”rdpkax.xsl含有攻擊需要的所有組件,其是一個特殊的數據包,需要病毒自己解密分離出各個組件,其組件包含“永恒之藍”漏洞攻擊工具集(svchost.exe、spoolsv.exe、x86.dll/x64.dll等)。

image004

攻擊流程:

  • 主服務dll(亞信安全已經攔截該文件,將其命名為Trojan.Win64.VOOLS.AC)由系統進程加載,以確保每次都能開機啟動,啟動后加載spoolsv.exe。
  • exe對局域網進行445端口掃描,確定可攻擊的內網主機。同時啟動漏洞攻擊程序svchost.exe。
  • exe執行“永恒之藍”漏洞攻擊,成功后安裝后門程序spoolsv.exe,加載payload(x86.dll/x64.dll)。
  • payload(dll/x64.dll)執行后,復制rdpkax.xsl到目標主機,解密后注冊主服務,進行新的攻擊,每一臺被攻擊機器都重復著同樣的攻擊流程。

與WannaMine3.0不同的是,該變種使用了服務文件名稱和內容的隨機行來進行免殺,進而payload文件與之前版本相比也發生了變化。主服務的命名規則為“字符串1+字符串2+字符串3”,如上面提及的RemoteTimeHost,即Remote+Time+Host。

image005

image006

字符串1列表:Windows、Microsoft、Network、Remote、Function、Secure、Application

字符串2列表:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP

字符串3列表:Service、Host、Client、Event、Manager、Helper、System

image007

WannaMine4.0挖礦主體病毒文件為dllhostex.exe,負責挖取門羅幣。

亞信安全教你如何防范

  • 利用系統防火墻高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)。
  • 盡量關閉不必要的文件共享;
  • 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;
  • 打開系統自動更新,并檢測更新進行安裝。
  • 系統打上MS17-010對應的Microsoft Windows SMB 服務器安全更新 (4013389)補丁程序。詳細信息請參考鏈接:http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010

亞信安全產品解決方案

亞信安全病毒碼版本14.893.60,云病毒碼版本14.893.71,全球碼版本14.895.00已經可以檢測,請用戶及時升級病毒碼版本。

亞信安全OSCE VP / DS DPI開啟以下規則攔截該漏洞:

  • 1008224 – Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)
  • 1008225 – Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
  • 1008227 – Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)
  • 1008228 – Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)
  • 1008306 – Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

亞信安全深度發現設備TDA檢測規則如下:

  • 2383:CVE-2017-0144-Remote Code Executeion-SMB(Request)

亞信安全Deep Edge已發布了針對微軟遠程代碼執行漏洞CVE-2017-0144的4條IPS規則:

  • 規則名稱:微軟MS17 010 SMB遠程代碼執行1-4,規則號:1133635,1133636,1133637,1133638

##

image008

關于亞信安全

亞信安全是中國網絡安全行業領跑者,以安全數字世界為愿景,旨在護航產業互聯網。亞信安全是云安全、身份安全、終端安全、態勢感知、高級威脅治理、威脅情報技術領導者,同時是5G、云計算、物聯網、大數據、工控、移動六大安全場景引領者。在國內擁有3個獨立研發中心,2,000人安全專業團隊。欲了解更多,請訪問: http://www.asiainfo-sec.com

更多媒體垂詢,敬請聯絡:

亞信安全 謀信傳媒
劉婷婷 雷遠方
電話:010- 58256889 電話:010-67588241
電子郵件: liutt5@aisainfo-sec.com 電子郵件:leiyuanfang@ctocio.com

上一篇:『2019 C3安全峰會』正式啟動,乘5G而來Get 4大新技能

下一篇:銳捷重磅發布新一代智慧教室 “一堂好課”激活教育信息化2.0