处置建议
原理
WannaMine是一种挖k木马,发现于2017年10月,利用“永恒之蓝”(EternalBlue)漏d进行传播,后来逐步增加通过ssh/telnet暴力破j,利用CVE-2017-0213、CVE-2016-5195等漏辅助入侵提升控制权限,主要挖取门罗币。WannaMine最新版本新增了组合与免杀功能,且功能模块独立化,每个模块在攻j流程中都具备明确角色和任务,有效避免单个组织功能模块被关联分析,攻j目标方向由Windows系统扩展至Linux环境,并构造僵尸网络,为其他黑k组织提供武器。
风险危害
1、利用用户设备进行挖k,耗费大量的CPU和GPU资源,造成设备卡顿、发热、蓝屏甚至死机。
2、与远程服务器进行通信,获取配置文件或更新,并可以通过创建微型Web服务端,供内网其它无法上网的主机下载更新。
3、控制感染设备构建僵尸网络,用于分发更新病d,并会控制设备进行DD_OS攻j、发送垃圾邮件等恶意行为。
排查建议
1.通过深信服威胁情报中心(https://sec.sangfor.com.cn/analysis-platform)查看情报详情。
2.使用深信服aES-EDR进行全盘扫描,如果aES-EDR没有查杀结果可以查看是否安装其他杀软,并分析杀毒记录,查看是否有可疑文件。
3.如果aES-EDR以及其他杀软没有排查到可疑文件,可以通过内存分析工具定位到请求恶意情报的进程并进一步分析进程是否可疑。
处置建议
1.断开受感染机器的网络连接。
2.禁用随开机启动的恶意服务,服务名由三个字符串列表随机组成,如下所示:
Windows、Microsoft、Network、Remote、Function、Secure、Application
Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
Service、Host、Client、Event、Manager、Helper、System
并删除C:\Windows\System32和C:\Windows\SysWOW64目录下与恶意服务同名的恶意模块。
3.关闭恶意服务启动的spoolsv.exe进程,关闭挖k进程dllhostex.exe,关闭洞攻j进程svchost.exe和spoolsv.exe(另外一个病d文件),注意别关闭了正常进程。
4.删除C:\Windows\NetworkDistribution目录及其所有文件,删除C:\Windows\System32和C:\Windows\SysWOW64下的dllhostex.exe和rdpkax.xsl(后缀可能是xml、log、dat、xsl、ini、tlb、msc)。
退出安全模式,重启计算机,等待5到10分钟,确认没有占用CPU高的进程,恶意服务已被禁用,删除的文件没有被恢复,说明病d已清除干净。
5.安装补丁修复MS17-010漏,下载地址:https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010。
