扫一扫关注我们
沪ICP备 12026360号
扫一扫关注我们
同时,美国电信巨头Verizon于上周二在其2018年数据泄露调查报告(DBIR)中称,勒索软件攻击事件数量在过去一年中翻了一倍。距WannaCry勒索病毒大规模爆发已经过去了整整一年,WannaCry后,勒索病毒大家族中的小分支不断滋长蔓延,新型变种不断涌现,从2017年5月至2018年4月,近500万台电脑遭受攻击,勒索病毒俨然成为威胁互联网安全的一大毒瘤。
此次攻击,是经过精心设计的,涉及的病毒模块多,感染面广,关系复杂,如下图:
压缩包MsraReportDataCache32.tlb含有所需要的所有攻击组件,其目录下有hash、spoolsv、srv等病毒文件,此外,子压缩包crypt有“永恒之蓝”漏洞攻击工具集(svchost.exe、spoolsv.exe、x86.dll、x64.dll等)。
其中
hash/hash64:为32位/64位挖矿程序,会被重命名为TrueServiceHost.exe。
spoolsv/spoolsv64:为32位/64位攻击母体,会被重命名为spoolsv.exe。
srv/srv64:为32位/64位为主服务,攻击入口点,会被重命名为tpmagentservice.dll。
本文所述病毒文件,释放在下列文件目录中
C:\Windows\System32\MsraReportDataCache32.tlbC:\Windows\SecureBootThemes\C:\Windows\SecureBootThemes\Microsoft\C:\Windows\SecureBootThemes\Crypt\
攻击顺序:
1.srv是主服务,每次都能开机启动,启动后加载spoolsv。
2.spoolsv对局域网进行445端口扫描,确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程序svchost.exe和spoolsv.exe。
3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll、x64.dll)。
4.payload(x86.dll、x64.dll)执行后,负责将MsraReportDataCache32.tlb从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。
此次攻击,病毒本身做了很健壮的自更新机制,包括外网更新和局域网更新两个方面。病毒自更新主要是获取新的压缩包MsraReportDataCache32.tlb。
只要局域网内有一台感染主机可以上网,则该主机可以从公网上下载到最新的MsraReportDataCache32.tlb,并解压自更新(外网更新)。
然后,该主机可以创建微型Web服务端,供内网其它无法上网的主机下载更新(局域网更新)。
这样的一个更新机制,保障了全网都能及时更新到最新的病毒变种,且在主服务没有被删除的情况下,即使其它病毒文件被删除,很快又可以重新下载生成!极大保障了此僵尸网络的健壮性。
解决方案
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。
3、查找攻击源:手工抓包分析或借助态势感知类产品分析。
4、查杀病毒:推荐使用深信服EDR工具进行查杀。
5、修补漏洞:打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。
针对广大用户,建议进行日常防范措施:
1.不要点击来源不明的邮件附件,不从不明网站下载软件;
2.及时给主机打上永恒之蓝漏洞补丁,修复此漏洞;
3.对重要的数据文件定期进行非本地备份;
4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。
5.一旦发现内网主机存在大量蓝屏或卡顿现像,及时联系我们进行跟踪分析,利用综合检测及防范措施,避免感染更大的范围,造成更大的损失。
