前段时间,北京一家名为经纬信安的公司用其公司产品“戍将”捕获到内网挖矿蠕虫变种攻击,并对其进行了如下分析:
样本概述
根据该样本的木马母体的传播方式以及挖矿功能的程序特点,可以将该样本归类为WannaMine家族的变种WannaMine2.0。
该变种针对存在MS17-010漏洞的windows机器进行感染,使用NSA泄露的Eternalblue、DoublePulsar工具,在Eternalblue工具漏洞攻击成功之后,DoublePulsar后门程序作为代码注射器,负责把payload以dll形式注入到被攻击的系统里;payload(x86.dll/x64.dll)执行后负责接收已感染主机发送的加密的程序与资源文件EnrollCertXaml.dll,并解密文件得到wmassrv.dll通过注册服务的方式启动;在主payload启动之后开启挖矿服务,并创建漏洞传播功能程序spoolsv.exe修改文件时间后开启漏洞利用,渗透攻击与传播进程,并开启mongoose web服务监听端口传输资源。
图1攻击过程与资源文件传递
图2攻击详细过程(强调攻击弱化扩散与更新细节)
相关文件
细节分析
1、伪装技术——修改文件时间戳
该样本在生成的文件落地后(除C:\Windows\SpeechsTracing\Microsoft目录下NSA工具包文件),首先获取同级目录下systeminfo文件的时间戳,并设置生成的文件时间戳信息与其一致。
图3代码实现
图4伪装效果
2、伪装技术——伪装为系统服务执行恶意行
在注入的payload(X86.dll/X64.dll)执行后,创建线程解密出wmassrv.dll并创建线程将该dll设置为服务,使用system32下的svchost.exe(netsvcs工作组)直接启动dll,伪装为Windows Modules Activations Services服务。伪装代码与效果如下图5,图6.
图5伪装代码
图6伪装效果
3、伪装技术——使用系统文件启动挖矿进程
该变种不同于传统的挖矿进程启动方式(新建进程启动挖矿程序),使用系统的rundll32.exe在内存中运行挖矿主程序HalPluginsServices.dll,该程序同样是由开源挖矿工具xmrig生成,挖矿程序的参数与之前版本相同“m -osanta.inseription.com:443 -u santa1 -p x -t 1 --donate-level=1 –nicehash”。
图7挖矿进程启动方式
图8挖矿进程启动参数
4、数据传递——服务端监听端口传输数据
在感染新机器之后,资源传递的服务端由已感染机器的wmassrv服务来启动mongoose web服务,监听63257端口用于传输资源文件EnrollCertXaml.dll,传递的客户端在新感染机器的payload(X86.dll\X64.dll)中接收资源文件,解密出wmassrv.dll并启动该服务。
图9数据传输服务端
5、攻击指纹——被感染时间
由于攻击发生之后会在被感染机器中安装服务(Windows ModulesActivations Services),所以根据安装服务的时间,可以得出被感染日期2018/8/13。
按照处理顺序,经纬信安内源威胁应急响应团队提出以下解决方案:
1.对已感染主机实施网络隔离。关闭所有网络连接并禁用网卡;
2.确认被感染时间。查找已感染主机日志信息中WMAS服务的首次安装时间,确定被感染时间;
3.查找攻击源。提取被感染主机所在局域网的流量数据,查找攻击源主机;
4.查杀病毒。使用经纬信安提供的WannaMine专杀工具进行查杀;
5.修补漏洞。到微软官网下载漏洞补丁,打上感染所使用的漏洞MS17-010的补丁。
6.开启主机防火墙。关闭非必要共享端口137、139、445等,在边界关闭所有对外的445端口连接;
7.部署戍将。事前对内网进行专项排查,事中监测并防御该蠕虫病毒扩散。
