前段時(shí)間咪辱，北京一家名為經(jīng)緯信安的公司用其公司產(chǎn)品“戍將”捕獲到內(nèi)網(wǎng)挖礦蠕蟲(chóng)變種攻擊，并對(duì)其進(jìn)行了如下分析：

樣本概述

根據(jù)該樣本的木馬母體的傳播方式以及挖礦功能的程序特點(diǎn)缺前，可以將該樣本歸類為WannaMine家族的變種WannaMine2.0倔幼。

該變種針對(duì)存在MS17-010漏洞的windows機(jī)器進(jìn)行感染饲齐，使用NSA泄露的Eternalblue、DoublePulsar工具腐魂，在Eternalblue工具漏洞攻擊成功之后帐偎，DoublePulsar后門程序作為代碼注射器，負(fù)責(zé)把payload以dll形式注入到被攻擊的系統(tǒng)里蛔屹；payload(x86.dll/x64.dll)執(zhí)行后負(fù)責(zé)接收已感染主機(jī)發(fā)送的加密的程序與資源文件EnrollCertXaml.dll削樊，并解密文件得到wmassrv.dll通過(guò)注冊(cè)服務(wù)的方式啟動(dòng)；在主payload啟動(dòng)之后開(kāi)啟挖礦服務(wù)判导，并創(chuàng)建漏洞傳播功能程序spoolsv.exe修改文件時(shí)間后開(kāi)啟漏洞利用嫉父，滲透攻擊與傳播進(jìn)程，并開(kāi)啟mongoose web服務(wù)監(jiān)聽(tīng)端口傳輸資源眼刃。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 圖1攻擊過(guò)程與資源文件傳遞

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? 圖2攻擊詳細(xì)過(guò)程（強(qiáng)調(diào)攻擊弱化擴(kuò)散與更新細(xì)節(jié)）

相關(guān)文件

細(xì)節(jié)分析

1绕辖、偽裝技術(shù)——修改文件時(shí)間戳

該樣本在生成的文件落地后（除C:\Windows\SpeechsTracing\Microsoft目錄下NSA工具包文件），首先獲取同級(jí)目錄下systeminfo文件的時(shí)間戳擂红，并設(shè)置生成的文件時(shí)間戳信息與其一致仪际。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? 圖3代碼實(shí)現(xiàn)

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? 圖4偽裝效果

2围小、偽裝技術(shù)——偽裝為系統(tǒng)服務(wù)執(zhí)行惡意行

在注入的payload(X86.dll/X64.dll)執(zhí)行后，創(chuàng)建線程解密出wmassrv.dll并創(chuàng)建線程將該dll設(shè)置為服務(wù)树碱，使用system32下的svchost.exe（netsvcs工作組）直接啟動(dòng)dll肯适，偽裝為Windows Modules Activations Services服務(wù)。偽裝代碼與效果如下圖5成榜，圖6.

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? 圖5偽裝代碼

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 圖6偽裝效果

3框舔、偽裝技術(shù)——使用系統(tǒng)文件啟動(dòng)挖礦進(jìn)程

該變種不同于傳統(tǒng)的挖礦進(jìn)程啟動(dòng)方式（新建進(jìn)程啟動(dòng)挖礦程序），使用系統(tǒng)的rundll32.exe在內(nèi)存中運(yùn)行挖礦主程序HalPluginsServices.dll赎婚，該程序同樣是由開(kāi)源挖礦工具xmrig生成刘绣，挖礦程序的參數(shù)與之前版本相同“m -osanta.inseription.com:443 -u santa1 -p x -t 1 --donate-level=1 –nicehash”。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? 圖7挖礦進(jìn)程啟動(dòng)方式

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? 圖8挖礦進(jìn)程啟動(dòng)參數(shù)

4挣输、數(shù)據(jù)傳遞——服務(wù)端監(jiān)聽(tīng)端口傳輸數(shù)據(jù)

在感染新機(jī)器之后纬凤，資源傳遞的服務(wù)端由已感染機(jī)器的wmassrv服務(wù)來(lái)啟動(dòng)mongoose web服務(wù)，監(jiān)聽(tīng)63257端口用于傳輸資源文件EnrollCertXaml.dll撩嚼，傳遞的客戶端在新感染機(jī)器的payload(X86.dll\X64.dll)中接收資源文件停士，解密出wmassrv.dll并啟動(dòng)該服務(wù)。

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?? 圖9數(shù)據(jù)傳輸服務(wù)端

5完丽、攻擊指紋——被感染時(shí)間

由于攻擊發(fā)生之后會(huì)在被感染機(jī)器中安裝服務(wù)（Windows ModulesActivations Services）恋技，所以根據(jù)安裝服務(wù)的時(shí)間，可以得出被感染日期2018/8/13舰涌。

按照處理順序猖任，經(jīng)緯信安內(nèi)源威脅應(yīng)急響應(yīng)團(tuán)隊(duì)提出以下解決方案：

1.對(duì)已感染主機(jī)實(shí)施網(wǎng)絡(luò)隔離。關(guān)閉所有網(wǎng)絡(luò)連接并禁用網(wǎng)卡瓷耙；

2.確認(rèn)被感染時(shí)間朱躺。查找已感染主機(jī)日志信息中WMAS服務(wù)的首次安裝時(shí)間，確定被感染時(shí)間搁痛；

3.查找攻擊源长搀。提取被感染主機(jī)所在局域網(wǎng)的流量數(shù)據(jù)，查找攻擊源主機(jī)鸡典；

4.查殺病毒源请。使用經(jīng)緯信安提供的WannaMine專殺工具進(jìn)行查殺；

5.修補(bǔ)漏洞彻况。到微軟官網(wǎng)下載漏洞補(bǔ)丁谁尸，打上感染所使用的漏洞MS17-010的補(bǔ)丁。

6.開(kāi)啟主機(jī)防火墻纽甘。關(guān)閉非必要共享端口137良蛮、139、445等悍赢，在邊界關(guān)閉所有對(duì)外的445端口連接决瞳；

7.部署戍將货徙。事前對(duì)內(nèi)網(wǎng)進(jìn)行專項(xiàng)排查，事中監(jiān)測(cè)并防御該蠕蟲(chóng)病毒擴(kuò)散皮胡。