整理来自:
(1)WannaMine来了?警惕“永恒之蓝”挖矿长期潜伏
http://www.freebuf.com/articles/network/164869.html
(2)NrsMiner:一个构造精密的挖矿僵尸网络
http://www.freebuf.com/articles/system/162874.html
(3)MsraMiner 被曝光后72小时内的更新
https://paper.tuisec.win/detail/aa6e84f6133184d
(4)MsraMiner: 潜伏已久的挖矿僵尸网络
http://blog.netlab.360.com/msraminer-qian-fu-yi-jiu-de-wa-kuang-jiang-shi-wang-luo/
(5)深信服报道
http://www.sangfor.com.cn/about/source-news-product-news/1034.html
(一)WannaMine
病毒文件:
hash/hash64:为32位/64位挖矿程序,会被重命名为TrueServiceHost.exe。
spoolsv/spoolsv64:为32位/64位***母体,会被重命名为spoolsv.exe。
srv/srv64:为32位/64位为主服务,***入口点,会被重命名为tpmagentservice.dll。
本文所述病毒文件,释放在下列文件目录中
C:\Windows\System32\MsraReportDataCache32.tlb
C:\Windows\SecureBootThemes\
C:\Windows\SecureBootThemes\Microsoft\
C:\Windows\SecureBootThemes\Crypt\
注册服务:srv。 主服务文件:tpmagentservice.dll
外网链接:
hxxp://acs.njaavfxcgk3.club:4431/f79e53
hxxp://rer.njaavfxcgk3.club:4433/a4c80e
hxxp://rer.njaavfxcgk3.club:4433/5b8c1d
hxxp://rer.njaavfxcgk3.club:4433/d0a01e
日志文件:stage1.txt。
日志文件:stage2.txt
DoublePulsar后门程序spoolsv.exe的配置文件:spoolsv.xml
挖矿地址:nicehash.com、minergate.com
@@@@@现场发现的实例:
“永恒之蓝”漏洞利用使用445端,SMB协议漏洞。一般而言,安装补丁后或者禁用445端口均可以对抗病毒的传播。
本次发现的病毒主要行为有:
(1) 病毒更新模块为:ProximityUntilCache32.tlb
(2) 病毒运行传播模块为:spoolsv.exe
(3) 病毒运行模块为:svchost.exe
各病毒文件及文件夹如图中所示:
C:\Windows\SecureBootThemes
C:\Windows\System32\ProximityUntilCache32.tlb
C:\Windows\System32\SecureBootThemes\spoolsv.exe
其中,我们将ProximityUntilCache32.tlb解压后可以看到包含的所有***文件。
处理过程:
(1) 断开网络
(2) 删除文件
C:\Windows\SecureBootThemes
C:\Windows\System32\ProximityUntilCache32.tlb
C:\Windows\System32\SecureBootThemes\spoolsv.exe
(3) 如果不能成功删除,打开任务管理器,
找到两个文件路径不在system32下边的spoolsv.exe和svchost.exe的两个进程,结束进程树。一定要注意路径,正常的系统也会有这两个进程。结束后,删除病毒文件。
(4) 安装ms17-010补丁
(5) 安装杀毒软件查杀病毒。
结语:目前没有发现挖矿模块的启动,以及病毒自启动的方式,需要进一步跟进。
(二)NrsMiner
病毒更新包文件:NrsDataCache.tlb(1)主控模块作为服务“Hyper-VAccess Protection Agent Service”,模块名:vmichapagentsrv.dll
该服务被加入netsvcs服务组中借助svchost.exe启动(找到注册表子健HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 并打开子健项netsvcs。netsvcs里面的值就是svchost的服务组netsvcs所启动的所有服务 )
(2)网络:vpp.jdi1diejs.club(打点)
dlr.noilwut0vv[.]club/d/msdownload/others/BtnProtocol.exe(模块更新)
log[.]oiwcvbnc2e.stream(模块更新)
hxxp://vpp.jdi1diejs.club/NrsDataCache.tlb
mg[.]jdi1diejs.club:45560(矿池)
(3)挖矿程序:hash,将其复制到system32或SysWOW64目录下命名为TaskSyncHost.exe并启动该程序进行挖矿。
(4)释放的WebServer绑定的端口为26397
存放NrsMiner组件的路径
路径
C:\Windows\IME
C:\windows\SysprepThemes
C:\windows\Sysnative
C:\windows\securebootthemes
永恒之蓝***文件夹:
(三)WannaMine2.0
5月21日更新(深信服发现的挖矿):
1.HalPluginsServices.dll是主服务,每次都能开机启动,启动后加载spoolsv.exe。
2.spoolsv.exe对局域网进行 445 端口扫描,确定可***的内网主机。同时启动漏洞***程序svchost.exe和spoolsv.exe(另外一个病毒文件)。
3.svchost.exe执行“永恒之蓝”漏洞溢出***(目的IP由第 2 步确认),成功后spoolsv.exe(NSA***工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)执行后,负责将EnrollCertXaml.dll从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行***(每感染一台,都重复步骤1、2、3、4)。
WannaMine 2. 0 变种包含的病毒文件,主要释放在下列文件目录中:
C:\Windows\System32\HalPluginsServices.dll
C:\Windows\System32\EnrollCertXaml.dll
C:\Windows\SpeechsTracing\
C:\Windows\SpeechsTracing\Microsoft\
网络行为
检测到WannaMine2. 0 的C&C服务器为:
task.attendecr.com
scan.attendecr.com
error.attendecr.com
局域网传播上,仍然是沿用WannaMine的机制。通过spoolsv.exe和svchost.exe配合,利用永恒之蓝漏洞进行***,实现病毒自我复制到目标主机上。
有别于WannaMine, 此次变种2. 0 删除了自更新机制,包括外网更新和局域网更新两个方面。另外,也不再创建微型Web服务端,供内网其它无法上网的主机下载更新。意味着感染主机不再做病毒更新。解决方案:
如果可以连网,直接打开系统的自动更新吧。。。。
(1)打补丁ms17-010
官方补丁:
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
个人补丁下载:
hxxp://www.fjedu.gov.cn/html/wsbs/xzzx/2017/05/14/275887f4-4d35-4e14-9ed1-e6bf230371fd.html
补丁号:
注:补丁如果打不上原因kennel是补丁依赖,即安装此次的补丁需要前一个补丁的支持。
(3)445端口封堵
防火墙禁用445端口
组策略445端口
禁用SMB服务
免疫工具:hxxp://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip
(4)安装杀毒软件查杀。
如何判定是否安装补丁
(1)控制面板-程序和功能-卸载程序-补丁更新
(2)cmd命令行-输入systeminfo
(3)win+R 输入regedit
依次展开,查看注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\Currentversion\hotfix
其它处理过程中使用的脚本
同事提供的处理脚本:
@echo off
echo Start...
set Service2=vmichapagentsrv
set Service3=tpmagentservice
rem iolchxfz32.dat/svchost32.exe/spoolsv32.exe Rename C:\Windows\system32\IME\Crypt\(settings7283.dat/svchost.exe/spoolsv.exe)
set File1=1.txt
netstat -ano | findstr 445 | findstr spoolsv.exe
rem 1.x
rem dnsclientprovider_userdata.mof will be delete
rem set File1=dnsclientprovider_userdata.mof
echo=
echo Checking Files...
for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
if exist %%i:\ (
for /f "delims=" %%j in ('dir /a-d /s /b "%%i:\*%File1%" 2^>nul') do (
if /i "%%~nxj" equ "%File1%" (
echo,%%j
)
)
)
)
rd /s/q C:\Windows\system32\IME\Crypt\
rem 2.x
echo=
echo Checking Process...
tasklist -v | findstr TrustedHostServices.exe
taskkill /im TrustedHostServices.exe /f
rd /s/q C:\Windows\system32\SecureBootThemes
del C:\Windows\system32\TrustedHostServices.exe
del C:\Windows\system32\SecUpdateHost.exe
del C:\Windows\system32\NetTraceDiagnostics.ini
del C:\Windows\system32\MsraReportDataCache32.tlb
echo=
echo Checking Services...
sc query |find /i "%Service2%" >nul 2>nul
if not ErrorLevel 1 (
echo "%Service2% exists!!!"
)
rem 3.x
tasklist -v | findstr WUDHostServices.exe
taskkill /im WUDHostServices.exe /f
rd /s/q C:\Windows\system32\SecureBootThemes
del C:\Windows\system32\WUDHostServices.exe
del C:\Windows\system32\NetTraceDiagnostics.ini
del C:\Windows\system32\ProximityUntilCache32.tlb
REG DELETE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ /v ServicesPixels
echo=
echo Checking Services...
sc query |find /i "%Service3%" >nul 2>nul
if not ErrorLevel 1 (
echo "%Service3% exists!!!"
)
echo=
echo Checking Finished!
pause
exit我自己写的简单处理脚本:
for /f "tokens=2 " %%a in ('tasklist /fi "imagename eq WUDHostServices.exe" /nh') do taskkill /f /pid %%a
del /F /S /Q C:\Windows\system32\NetTraceDiagnostics.ini
del /F /S /Q C:\Windows\system32\WUDHostServices.exe
rmdir /s /q C:\Windows\SecureBootThemes
del /F /S /Q C:\Windows\System32\ProximityUntilCache32.tlb
del /F /S /Q C:\Windows\System32\SecureBootThemes\spoolsv.exe
REG DELETE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ /v ServicesPixels
pause来源:51CTO
作者:Alyoyojie
链接:https://blog.51cto.com/antivirusjo/2089077?source=drt