【内源威胁预警】WannaMine挖矿蠕虫变种攻击预警

2018-09-11 12:56:51 968


近日,经纬信安“戍将”产品捕获到内网挖矿蠕虫变种攻击,分析如下:


样本概述


根据该样本的木马母体的传播方式以及挖矿功能的程序特点,可以将该样本归类为WannaMine家族的变种WannaMine2.0。

该变种针对存在MS17-010漏洞的windows机器进行感染,使用NSA泄露的Eternalblue、DoublePulsar工具,在Eternalblue工具漏洞攻击成功之后,DoublePulsar后门程序作为代码注射器,负责把payload以dll形式注入到被攻击的系统里;payload(x86.dll/x64.dll)执行后负责接收已感染主机发送的加密的程序与资源文件EnrollCertXaml.dll,并解密文件得到wmassrv.dll通过注册服务的方式启动;在主payload启动之后开启挖矿服务,并创建漏洞传播功能程序spoolsv.exe修改文件时间后开启漏洞利用,渗透攻击与传播进程,并开启mongoose web服务监听端口传输资源。


图片关键词





图1 攻击过程与资源文件传递



图片关键词


图2 攻击详细过程(强调攻击弱化扩散与更新细节)


相关文件

文件名称

主要功能

svchost.exe

Eternalblue漏洞溢出攻击;

spoolsv.exe

DoublePulsar后门程序;

x86.dll/x64.dll

资源文件接收;

资源文件解密并启动服务程序;

Wmassrv.dll

资源文件释放;

开启挖矿进程;

开启扩散攻击进程spoolsv.exe(1);

开启数据传递服务端进程;

spoolsv.exe(1)

释放后的资源文件解密出NSA工具包;

寻找攻击目标;

调度NSA工具的漏洞攻击与后门植入过程;

连接C2域名下载内容进行更新;

EnrollCertXaml.dll

资源文件;

HalPluginsServices.dll

挖矿主程序;

*重名情况添加后缀(n)




细节分析


针对WannaMine家族变种的分析已经很多,所以本报告重点分析其他报告中未详细提到的伪装技术细节与针对Lalon的攻击指纹信息。


1、伪装技术——修改文件时间戳


该样本在生成的文件落地后(除C:\Windows\SpeechsTracing\Microsoft目录下NSA工具包文件),首先获取同级目录下systeminfo文件的时间戳,并设置生成的文件时间戳信息与其一致。

图片关键词

图3 代码实现


图片关键词


图4 伪装效果


2 、伪装技术——伪装为系统服务执行恶意行为


在注入的payload(X86.dll/X64.dll)执行后,创建线程解密出wmassrv.dll并创建线程将该dll设置为服务,使用system32下的svchost.exe(netsvcs工作组)直接启动dll,伪装为Windows Modules Activations Services服务。伪装代码与效果如下图5,图6.图片关键词图5 伪装代码图片关键词图6 伪装效果


3、伪装技术——使用系统文件启动挖矿进程


该变种不同于传统的挖矿进程启动方式(新建进程启动挖矿程序),使用系统的rundll32.exe在内存中运行挖矿主程序HalPluginsServices.dll,该程序同样是由开源挖矿工具xmrig生成,挖矿程序的参数与之前版本相同“m -osanta.inseription.com:443 -u santa1 -p x -t 1 --donate-level=1 –nicehash”。

图片关键词

图7 挖矿进程启动方式

图片关键词图8 挖矿进程启动参数


4、数据传递——服务端监听端口传输数据


在感染新机器之后,资源传递的服务端由已感染机器的wmassrv服务来启动mongoose web服务,监听63257端口用于传输资源文件EnrollCertXaml.dll,传递的客户端在新感染机器的payload(X86.dll\X64.dll)中接收资源文件,解密出wmassrv.dll并启动该服务。

图片关键词

图9 数据传输服务端


图片关键词

图10 数据传输客户端


5、攻击指纹——被感染时间


由于攻击发生之后会在被感染机器中安装服务(Windows ModulesActivations Services),所以根据安装服务的时间,可以得出被感染日期2018/8/13。

图片关键词

运行记录:


图片关键词

图11 日志中记录的安装与运行时间



内源威胁应急响应处理建议:


按照处理顺序,经纬信安内源威胁应急响应团队提出以下解决方案:

1.对已感染主机实施网络隔离。关闭所有网络连接并禁用网卡;

2.确认被感染时间。查找已感染主机日志信息中WMAS服务的首次安装时间,确定被感染时间;

3.查找攻击源。提取被感染主机所在局域网的流量数据,查找攻击源主机;

4.查杀病毒。使用经纬信安提供的WannaMine专杀工具进行查杀;

5.修补漏洞。到微软官网下载漏洞补丁,打上感染所使用的漏洞MS17-010的补丁。

6.开启主机防火墙。关闭非必要共享端口137、139、445等,在边界关闭所有对外的445端口连接;

7.部署戍将。事前对内网进行专项排查,事中监测并防御该蠕虫病毒扩散。



图片关键词

免费试用

联系方式

北京经纬信安科技有限公司(总部)
地址:北京市海淀区悦秀路76号C216室
电话:010-64891691;13269261691
邮箱:vip@jingweixinan.com
华东地区:
电话:025-86801691;19951921691