六小时处置挖矿蠕虫的内网大规模感染事件 |
||||||||||||||||||
来源:聚铭网络 发布时间:2019-10-15 浏览次数: | ||||||||||||||||||
信息来源:FreeBuf.com 一、应急服务背景2019年5月,安天接到某重要单位的求助,其内网中执行任务的上百台主机频繁出现死机、重启、蓝屏等现象,用户原部署使用的某款杀毒软件能查出病毒告警,但显示成功清除后,病毒很快会重新出现。用户尝试采用其他工具进行处理,未能解决问题,遂向我们寻求帮助。在电话远程协助用户处置的同时,我们派出由安全服务工程师、智甲终端防御系统产品支持工程师组成的应急服务小组,携智甲终端防御系统安装盘、便携式探海威胁检测系统、拓痕应急处置工具箱,及最新病毒库、补丁包等配套资源,于接到求助当日傍晚飞抵用户现场进行处置,快速解决了问题。 二、现场信息采集观测和研判工程师到达现场后,快速与用户进行了交流研判,共同确定了基于部署探海进行流量侧的监测分析、通过拓痕进行端点的信息采集和证据固化,制定合理安全配置加固策略,全面安装智甲终端防御系统,实现所有终端安全策略加固、统一补丁安装和全网查杀的处置流程。 应急服务小组在协助用户配置交换机镜像设置后,通过探海发现了大量内网扫描和基于永恒之蓝漏洞的攻击流量,以及匹配到威胁情报规则标记为矿池的域名连接请求,又通过拓痕应急处置工具对感染主机进行了扫描、对可疑文件与关联信息进行提取,结合用户已采集安全日志和其他工具,协助用户完成了证据固化。工程师初步判定出,这是一起WannaMine挖矿蠕虫,通过永恒之蓝漏洞,反复传播感染事件。应急服务小组根据预案,在严格执行用户“样本文件不离场”的要求下,前后台快速协同联动,在征得用户同意后,仅将扫描发现的病毒名称、样本HASH等信息通报给我们的应急响应中心(以下简称安天CERT),进行分析支持和研判验证。我们从支撑平台提取相同HASH的样本,结合已有分析验证,在事件机理成因方面,与进场服务小组作出完全一致的判断:由于用户侧部署的原有杀毒软件无法有效支持补丁升级、且没有主机策略配置加固,导致病毒被清除后,会继续通过漏洞重新打入,致使感染源始终存在,其中部分用户终端在被永恒之蓝漏洞攻击中会蓝屏。对此,应急服务小组基于全网终端安装智甲和统一扫描,并部署智甲软件管理中心,全面提取了相关信息,分析确认了病毒最早的出现日期,为用户定位该批设备的最初感染源提供了信息支撑。 制定加固策略、分发安全补丁、查杀终端威胁该蠕虫的传播机理为:迅速利用EternalBlue(“永恒之蓝”)漏洞在局域网内传播自身,形成更加庞大的挖矿网络。该漏洞使用445端口传播,对应补丁为MS17-010。如果主机没有安装相应补丁或关闭相关端口,则无法阻挡该病毒在内网中的渗透传播。根据智甲检测日志,出现病毒感染、蓝屏等故障的主机均未安装MS17-010补丁。 应急服务小组调研了用户现有业务系统所采用的通讯端口、协议等情况,对用户将端点做了初步分组,对默认安全策略模板(参考STIG标准)进行了部分定制调整。之后借助管理中心启动了补丁统一分发、策略调整和统一查杀。经工程师连夜不间断奋战,在到场六小时后将一百多台染毒主机、全部完成了对应补丁升级、安全策略加固和病毒查杀工作。 三、深度分析支持和支持归零复盘后端分析团队基于样本HASH进行了深度分析并于第一时间为用户提供了WannaMine挖矿病毒样本的详细分析报告。(详见附录一) 在现场病毒情况得到控制的同时,该单位相关负责人希望我们能够在其实验环境中复现该病毒的攻击过程。工程师根据事发现场的情况搭建了模拟环境,根据处置前固化的感染系统端点镜像,模拟现场情况并恢复了相关环境,提供了探海检测系统生成监测日志、并进行录包,指导用户通过Wireshark对数据包进行解析观察,在实验环境中复现了整体攻击过程和具体故障表现,为用户后续对事件进行归零复盘提供了依据。 应急服务小组协助用户完成最终判定,这是一起由第三方设备带毒入网导致的安全事件,昭示出供应链安全侧的安全风险。 四、用户评价本次应急事件处理完成后,我们受邀参加了该单位针对此事件的归零报告评审会议,用户对本次安全事件十分重视,单位领导对我们的应急响应处置能力、技术支持水平及智甲等产品的查杀和防御能力给予了高度评价,同时提出了和我们建立长期的安全服务关系,并采购了探海和智甲产品。 五、应急处置方案及后续安全建议5.1 应急处置方案我们的安全服务中心提示,通过智甲终端防御系统可以实现内网端点系统统一补丁升级、安全加固策略配置和病毒统一查杀。 在没有我们的智甲部署的情况下,遇到蠕虫反复感染对应问题的用户建议采取以下缓解措施:
5.2 后续安全建议本次事件主要是由于第三方厂家提供的设备带毒入网后引起的病毒内网传播感染事故,是一起典型的由供应链引起的病毒感染传播事件,我们对用户提出了后续安全建议: 1. 技术方面
2. 管理方面
3. 安全产品和工具使用方面
对规模化的高价值信息资产防护,仅仅依靠产品组合使用无法保证安全,应以叠加演进模型,进行能力导向的安全规划建设,依次做好基础结构安全、纵深防御、态势感知与积极防御、威胁情报等安全工作,建设动态综合安全防御体系。 附录一:WannaMine蠕虫样本分析报告安天CERT分析小组,根据应急服务小组所提供的样本HASH值,通过安天“赛博超脑”分析平台提取了样本进行分析。通过对病毒样本进行逆向分析发现,其属于WannaMine挖矿病毒的变种版本。WannaMine是一款旨在挖掘Monera加密货币的蠕虫病毒。WannaMine变种会最大限度的利用CPU来挖掘Monera加密货币,使应用程序以及系统崩溃。当用户感染WannaMine变种之后,WannaMine变种会迅速利用EternalBlue(“永恒之蓝”)漏洞在局域网内传播自身,形成更加庞大的挖矿网络。
表1样本标签 一、 样本传播方式图 1 样本传播方式 样本中spoolsv.exe(以下称为spoolsv.exe_A)对EnrollCertXaml.dll进行解密,得到wmassrv.dll。wmassrv.dll是主服务,会在C:\Windows\SpeechsTracing\Microsoft\目录下生成NSA漏洞利用工具,在C:\Windows\System32\目录下生成HalPluginsServices.dll。wmassrv服务启动后会调用HalPluginsServices.dll,HalPluginsServices.dll会启动spoolsv.exe_A。spoolsv.exe_A会对局域网进行445端口扫描,确定可攻击的内网主机,然后启动挖矿程序以及漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件,以下称为spoolsv.exe_B);svchost.exe执行“永恒之蓝”漏洞对可攻击的内网主机进行漏洞溢出攻击,成功后spoolsv.exe_B(NSA黑客工具包DoublePulsar后门)在攻击成功的主机上安装后门,加载payload(x86.dll/x64.dll);payload执行后,负责将EnrollCertXaml.dll从本地复制到受害主机,再解密该文件,注册wmassrv.dll为服务,启动spoolsv.exe_A执行攻击。 二、 样本的危害范围与危害程度1. 样本危害范围 本次任务获取的样本利用了“永恒之蓝”漏洞,该漏洞利用的操作系统平台为windows,从该样本释放的载荷分析发现了针对32位和64位不同操作系统的执行程序(X86.dll以及X64.dll),同时对样本代码进行逆向分析发现,该样本只会在局域网的同一网段上传播,不会跨网段扩散。(注:“永恒之蓝”是美国国家安全局开发的漏洞利用程序,是方程式组织在其漏洞利用框架中的一个针对SMB服务进行攻击的模块。“永恒之蓝”利用了MS17-010漏洞,该漏洞可以让攻击者在目标系统上执行任意代码。2017年5月份爆发的WannaCry蠕虫病毒便是利用“永恒之蓝”进行传播的。) spoolsv.exe_A运行后会对C:\Windows\System32\EnrollCertXaml.dll进行解密操作,解密后的文件wmassrv.dll会生成NSA漏洞利用工具集和HalPluginsServices.dll。 图 2 漏洞攻击工具集 spoolsv.exe_A会将wmassrv.dll注册为服务。该服务由svchost.exe启动,启动后wmassrv.dll会注入到svchost.exe进程中。 图 3将wmassrv.dll注册为服务 图 4 服务wmassrv spoolsv.exe_A会获取主机IP,扫描主机所在的内网网段(%d.%d.%d.*),判断内网中是否有主机开启了445端口。如果发现局域网内有主机开启了445端口,就将相应的IP地址和端口号写入到“永恒之蓝”攻击程序svchost.exe的配置文件svchost.xml中。然后spoolsv.exe_A启动svchost.exe(“永恒之蓝”攻击程序)对局域网内的主机进行攻击,同时将行为特征记录到stage1.txt。 图 5 扫描局域网内主机 “永恒之蓝”漏洞利用程序攻击结束之后,spoolsv.exe_A会修改DoublePulsar后门程序spoolsv.exe_B的配置文件spoolsv.xml,然后启动spoolsv.exe_B(NSA黑客工具包DoublePulsar)安装后门程序,同时将行为特征记录到stage2.txt。 图 6 将攻击记录到stage2.txt wmassrv.dll生成的NSA漏洞利用工具集中包含payload文件x86.dll和x64.dll,spoolsv.exe_B会根据受害主机的操作系统执行不同的payload。payload执行后,会将EnrollCertXaml.dll复制到受害主机,然后将wmassrv.dll安装为服务。服务安装后,可以启动spoolsv.exe_A,进行新一轮的漏洞利用与payload加载。 2. 样本危害程度 WannaMine变种沿用WannaMine的传播方式,利用了MS17-010漏洞的便利,使用“永恒之蓝”漏洞利用程序在局域网中迅速传播,导致局域网中的主机都在挖矿。WannaMine变种的矿池站点仍然指向nicehash.com、minergate.com。 相关样本攻击载荷落地后会即时发起攻击,没有潜伏期。在实验环境复现的过程中,被攻击主机的现象也是即时发生的,继而验证了病毒的即时发作特性。同时,局域网主机感染了该挖矿病毒后会相互进行永恒之蓝漏洞攻击,漏洞利用过程中使用了堆喷射技术,因此一定概率会导致漏洞利用失败导致被攻击主机蓝屏重启等现象。
|
||||||||||||||||||
上一篇:物联网和边缘计算的网络安全 |