原始”壓縮包”rdpkax.xsl含有攻擊需要的所有組件��,其是一個(gè)特殊的數(shù)據(jù)包�����,需要病毒自己解密分離出各個(gè)組件����,其組件包含”永恒之藍(lán)”漏洞攻擊工具集(svchost.exe����、spoolsv.exe�����、x86.dll/x64.dll等)�。
攻擊流程:
· 主服務(wù)RemoteTimeHost.dll(亞信安全已經(jīng)攔截該文件,將其命名為Trojan.Win64.VOOLS.AC)由系統(tǒng)進(jìn)程加載���,以確保每次都能開機(jī)啟動��,啟動后加載spoolsv.exe�����。
· spoolsv.exe對局域網(wǎng)進(jìn)行445端口掃描��,確定可攻擊的內(nèi)網(wǎng)主機(jī)。同時(shí)啟動漏洞攻擊程序svchost.exe�����。
· svchost.exe執(zhí)行”永恒之藍(lán)”漏洞攻擊,成功后安裝后門程序spoolsv.exe�����,加載payload(x86.dll/x64.dll)�����。
· payload(x86.dll/x64.dll)執(zhí)行后���,復(fù)制rdpkax.xsl到目標(biāo)主機(jī)��,解密后注冊主服務(wù)����,進(jìn)行新的攻擊��,每一臺被攻擊機(jī)器都重復(fù)著同樣的攻擊流程�����。
與WannaMine3.0不同的是�����,該變種使用了服務(wù)文件名稱和內(nèi)容的隨機(jī)行來進(jìn)行免殺,進(jìn)而payload文件與之前版本相比也發(fā)生了變化�。主服務(wù)的命名規(guī)則為”字符串1+字符串2+字符串3″,如上面提及的RemoteTimeHost,即Remote+Time+Host���。
字符串1列表:Windows�����、Microsoft���、Network、Remote�、Function、Secure����、Application
字符串2列表:Update、Time�����、NetBIOS�����、RPC����、Protocol、SSDP���、UPnP
字符串3列表:Service���、Host、Client�����、Event�����、Manager��、Helper����、System
WannaMine4.0挖礦主體病毒文件為dllhostex.exe,負(fù)責(zé)挖取門羅幣�����。
亞信安全教你如何防范
· 利用系統(tǒng)防火墻高級設(shè)置阻止向445端口進(jìn)行連接(該操作會影響使用445端口的服務(wù))。
· 盡量關(guān)閉不必要的文件共享��;
· 采用高強(qiáng)度的密碼�����,避免使用弱口令密碼�����,并定期更換密碼���;
· 打開系統(tǒng)自動更新����,并檢測更新進(jìn)行安裝�。
· 系統(tǒng)打上MS17-010對應(yīng)的Microsoft Windows SMB 服務(wù)器安全更新 (4013389)補(bǔ)丁程序。詳細(xì)信息請參考鏈接:http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010
亞信安全產(chǎn)品解決方案
亞信安全病毒碼版本14.893.60��,云病毒碼版本14.893.71���,全球碼版本14.895.00已經(jīng)可以檢測�,請用戶及時(shí)升級病毒碼版本。
亞信安全OSCE VP / DS DPI開啟以下規(guī)則攔截該漏洞:
· 1008224 – Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)
· 1008225 – Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
· 1008227 – Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)
· 1008228 – Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)
· 1008306 – Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)
亞信安全深度發(fā)現(xiàn)設(shè)備TDA檢測規(guī)則如下:
· 2383:CVE-2017-0144-Remote Code Executeion-SMB(Request)
亞信安全Deep Edge已發(fā)布了針對微軟遠(yuǎn)程代碼執(zhí)行漏洞CVE-2017-0144的4條IPS規(guī)則:
· 規(guī)則名稱:微軟MS17 010 SMB遠(yuǎn)程代碼執(zhí)行1-4�,規(guī)則號:1133635,1133636,1133637,1133638
