【内源威胁预警】WannaMine挖矿蠕虫变种攻击预警
近日,经纬信安“戍将”产品捕获到内网挖矿蠕虫变种攻击,分析如下:
样本概述
根据该样本的木马母体的传播方式以及挖矿功能的程序特点,可以将该样本归类为WannaMine家族的变种WannaMine2.0。
该变种针对存在MS17-010漏洞的windows机器进行感染,使用NSA泄露的Eternalblue、DoublePulsar工具,在Eternalblue工具漏洞攻击成功之后,DoublePulsar后门程序作为代码注射器,负责把payload以dll形式注入到被攻击的系统里;payload(x86.dll/x64.dll)执行后负责接收已感染主机发送的加密的程序与资源文件EnrollCertXaml.dll,并解密文件得到wmassrv.dll通过注册服务的方式启动;在主payload启动之后开启挖矿服务,并创建漏洞传播功能程序spoolsv.exe修改文件时间后开启漏洞利用,渗透攻击与传播进程,并开启mongoose web服务监听端口传输资源。
图1 攻击过程与资源文件传递
图2 攻击详细过程(强调攻击弱化扩散与更新细节)
相关文件
文件名称 | 主要功能 |
svchost.exe | Eternalblue漏洞溢出攻击; |
spoolsv.exe | DoublePulsar后门程序; |
x86.dll/x64.dll | 资源文件接收; 资源文件解密并启动服务程序; |
Wmassrv.dll | 资源文件释放; 开启挖矿进程; 开启扩散攻击进程spoolsv.exe(1); 开启数据传递服务端进程; |
spoolsv.exe(1) | 释放后的资源文件解密出NSA工具包; 寻找攻击目标; 调度NSA工具的漏洞攻击与后门植入过程; 连接C2域名下载内容进行更新; |
EnrollCertXaml.dll | 资源文件; |
HalPluginsServices.dll | 挖矿主程序; |
*重名情况添加后缀(n)
细节分析
针对WannaMine家族变种的分析已经很多,所以本报告重点分析其他报告中未详细提到的伪装技术细节与针对Lalon的攻击指纹信息。
该样本在生成的文件落地后(除C:\Windows\SpeechsTracing\Microsoft目录下NSA工具包文件),首先获取同级目录下systeminfo文件的时间戳,并设置生成的文件时间戳信息与其一致。
图3 代码实现
图4 伪装效果
在注入的payload(X86.dll/X64.dll)执行后,创建线程解密出wmassrv.dll并创建线程将该dll设置为服务,使用system32下的svchost.exe(netsvcs工作组)直接启动dll,伪装为Windows Modules Activations Services服务。伪装代码与效果如下图5,图6.
图5 伪装代码图6 伪装效果
该变种不同于传统的挖矿进程启动方式(新建进程启动挖矿程序),使用系统的rundll32.exe在内存中运行挖矿主程序HalPluginsServices.dll,该程序同样是由开源挖矿工具xmrig生成,挖矿程序的参数与之前版本相同“m -osanta.inseription.com:443 -u santa1 -p x -t 1 --donate-level=1 –nicehash”。
图7 挖矿进程启动方式
图8 挖矿进程启动参数
在感染新机器之后,资源传递的服务端由已感染机器的wmassrv服务来启动mongoose web服务,监听63257端口用于传输资源文件EnrollCertXaml.dll,传递的客户端在新感染机器的payload(X86.dll\X64.dll)中接收资源文件,解密出wmassrv.dll并启动该服务。
图9 数据传输服务端
图10 数据传输客户端
由于攻击发生之后会在被感染机器中安装服务(Windows ModulesActivations Services),所以根据安装服务的时间,可以得出被感染日期2018/8/13。
运行记录:
图11 日志中记录的安装与运行时间
内源威胁应急响应处理建议:
按照处理顺序,经纬信安内源威胁应急响应团队提出以下解决方案:
1.对已感染主机实施网络隔离。关闭所有网络连接并禁用网卡;
2.确认被感染时间。查找已感染主机日志信息中WMAS服务的首次安装时间,确定被感染时间;
3.查找攻击源。提取被感染主机所在局域网的流量数据,查找攻击源主机;
4.查杀病毒。使用经纬信安提供的WannaMine专杀工具进行查杀;
5.修补漏洞。到微软官网下载漏洞补丁,打上感染所使用的漏洞MS17-010的补丁。
6.开启主机防火墙。关闭非必要共享端口137、139、445等,在边界关闭所有对外的445端口连接;
7.部署戍将。事前对内网进行专项排查,事中监测并防御该蠕虫病毒扩散。
