七秒的小鱼
小大
用微信扫描二维码分享至好友和朋友圈
2018-09-11 11:11:40 来源:洞察网
摘要:超15万主机受感染!
近期,深信服安全专家追踪发现了一利用永恒之蓝的新型病毒,主机感染量超过15万,中毒主机主要是被用于挖矿,多表现为异常卡顿,严重影响主机性能和业务正常运行。深信服将其命名为WmSrvMiner,并制定了相应的防护措施。
该病毒基于永恒之蓝的漏洞攻,传播速度极快,内网可在短时间内失陷,此病毒会持续扩大范围,深信服提醒用户积极打上 MS17-010漏洞补丁,小心中招!
病毒名称:WmSrvMiner
病毒性质:新型挖矿病毒
影响范围:超15万主机感染量
危害等级:高危
传播方式:利用永恒之蓝漏洞在局域网横向扩散
病毒分析
WmSrvMiner,涉及的病毒模块多,杀难度高,感染面广,关系复杂。
01
攻场景
中毒主机在C:Windows目录下面,有一个svchost.exe的伪装程序,本质是WmSrvMiner的主体木马,为整个攻的核心组件。一方面主体木马svchost.exe从HTTP下载站,下载NSA套装以及各种需要用的木马或者组件。另一方面,主体木马接收C2站命令,执行加载器service.exe以及NSA套装。service.exe负责释放并加载挖矿进程。
NSA套装存在于C:WindowssecurityIIS件目录,包含永恒之蓝、永恒浪漫、双脉冲星等众多攻组件,主要负责利用MS17-010漏洞,进行内网横向传播,危害极大。
中毒主机,存在横向攻行为
02
网络行为
通过对主体木马进行逆向分析,发现其C2服务器为indonesias.website,其通过C2接收命令,命令主要是下载并运行指定的恶意件。
主体木马svchost.exe是一个典型的木马程序,逆向结果显示,有大量的命令处置流程,主要是为了配合云端,对中毒主机下载任意件或执行任意命令。
目前其HTTP下载站的下载量已经达到15万+。
03
漏洞利用
中毒主机,会在局域网内,利用永恒之蓝漏洞,横向传播病毒。利用的仍然是NSA套装,包括但不限于永恒之蓝、永恒浪漫、双脉冲星,当然,还有NSSM、wget等辅助工具。
04
挖矿
WmSrvMiner主要瞄准的是大规模的集体挖矿,通过利用了永恒之蓝漏洞的便利,迅速使之在局域网内迅猛传播,矿池站指向indonesias.me。
解决方案
1、感染主机隔离
已中毒主机尽快隔离,关闭所有网络连接,禁用网卡。
2、病毒拦截
1)切断传播途径:关闭SMB 445等网络共享端口,关闭异常的外联访问。
2)深信服防火墙用户,可升级僵尸网络识别库20180910,进行拦截防护。
3、病毒检测
深信服防火墙及安全感知平台用户,可升级僵尸网络识别库20180910,进行病毒检测识别。
4、病毒杀
1)深信服免费提供病毒杀工具帮助广大用户进行病毒杀。
2)推荐使用深信服EDR进行病毒检测杀,EDR基于人工智能无特征检测技术,能够及时识别新型病毒与变种。
5、漏洞修复
打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁。
分享:
请输入验证信息:
你的加群请求已发送,请等候群主/管理员验证。
数据来自赢家江恩软件>>
虚位以待
暂无
82人关注了该股票
长期未登录发言
吧主违规操作
色情、反动
其他
*投诉理由
答:深信服科技股份有限公司专注于软详情>>
答:2020-05-28详情>>
答:深信服所属板块是 上游行业:信详情>>
答:www.sangfor.com.cn详情>>
答:每股资本公积金是:9.28元详情>>
今天银行行业在涨幅排行榜排名第19,江恩周天时间循环线显示近期时间窗5月3日
使用《赢家江恩软件》官方看图分析该股>>
七秒的小鱼
永恒之蓝热度不减,深信服发现WmSrvMiner新
永恒之蓝热度不减,【深信服(300454)、股吧】发现WmSrvMiner新型病毒
小大
用微信扫描二维码
分享至好友和朋友圈
2018-09-11 11:11:40 来源:洞察网
摘要:超15万主机受感染!
近期,深信服安全专家追踪发现了一利用永恒之蓝的新型病毒,主机感染量超过15万,中毒主机主要是被用于挖矿,多表现为异常卡顿,严重影响主机性能和业务正常运行。深信服将其命名为WmSrvMiner,并制定了相应的防护措施。
该病毒基于永恒之蓝的漏洞攻,传播速度极快,内网可在短时间内失陷,此病毒会持续扩大范围,深信服提醒用户积极打上 MS17-010漏洞补丁,小心中招!
病毒名称:WmSrvMiner
病毒性质:新型挖矿病毒
影响范围:超15万主机感染量
危害等级:高危
传播方式:利用永恒之蓝漏洞在局域网横向扩散
病毒分析
WmSrvMiner,涉及的病毒模块多,杀难度高,感染面广,关系复杂。
01
攻场景
中毒主机在C:Windows目录下面,有一个svchost.exe的伪装程序,本质是WmSrvMiner的主体木马,为整个攻的核心组件。一方面主体木马svchost.exe从HTTP下载站,下载NSA套装以及各种需要用的木马或者组件。另一方面,主体木马接收C2站命令,执行加载器service.exe以及NSA套装。service.exe负责释放并加载挖矿进程。
NSA套装存在于C:WindowssecurityIIS件目录,包含永恒之蓝、永恒浪漫、双脉冲星等众多攻组件,主要负责利用MS17-010漏洞,进行内网横向传播,危害极大。
中毒主机,存在横向攻行为
02
网络行为
通过对主体木马进行逆向分析,发现其C2服务器为indonesias.website,其通过C2接收命令,命令主要是下载并运行指定的恶意件。
主体木马svchost.exe是一个典型的木马程序,逆向结果显示,有大量的命令处置流程,主要是为了配合云端,对中毒主机下载任意件或执行任意命令。
目前其HTTP下载站的下载量已经达到15万+。
03
漏洞利用
中毒主机,会在局域网内,利用永恒之蓝漏洞,横向传播病毒。利用的仍然是NSA套装,包括但不限于永恒之蓝、永恒浪漫、双脉冲星,当然,还有NSSM、wget等辅助工具。
04
挖矿
WmSrvMiner主要瞄准的是大规模的集体挖矿,通过利用了永恒之蓝漏洞的便利,迅速使之在局域网内迅猛传播,矿池站指向indonesias.me。
解决方案
1、感染主机隔离
已中毒主机尽快隔离,关闭所有网络连接,禁用网卡。
2、病毒拦截
1)切断传播途径:关闭SMB 445等网络共享端口,关闭异常的外联访问。
2)深信服防火墙用户,可升级僵尸网络识别库20180910,进行拦截防护。
3、病毒检测
深信服防火墙及安全感知平台用户,可升级僵尸网络识别库20180910,进行病毒检测识别。
4、病毒杀
1)深信服免费提供病毒杀工具帮助广大用户进行病毒杀。
2)推荐使用深信服EDR进行病毒检测杀,EDR基于人工智能无特征检测技术,能够及时识别新型病毒与变种。
5、漏洞修复
打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁。
分享:
相关帖子