实战病毒木马之二——WannaMine3.0病毒事件处理报告 – 作者:nbawrl

1          发现异常

网络工程师在防火墙IPS日志分析中发现异常流量,主要表现为172.16.101.13服务器频繁向192.168.16.78的445端口发起SMB连接。

1611483699_600d4a3338c2fb1b03b2a.png!small?1611483699617

查找资产列表,发现172.16.101.13(win2008R2)为集群管理服务器,尚未安装公司统一的防病毒软件,192.168.16.78为员工PC。

2          处理过程

2.1      服务器系统打补丁

“MS.SMB.Server.SMB1.Trans2.Secondary.Handling.Code.Execution”,根据防火墙的告警信息,上网找到问题详情,该告警系CVE-2017-0144漏洞导致,微软已经出了相关的补丁,补丁编号就是大家熟悉的MS17-010,上微软官网下载win2008R2版本的MS17-010补丁,并在172.16.101.33上安装、重启。

之后观察,异常流量依然存在。虽然补丁打上了,但是病毒依然存在,说明目前为止,光打补丁不奏效。

2.2      查看网络连接

登录服务器172.16.101.33,命令行窗口中输入netstat -aon查看网络连接,发现有异常行为,服务器与192.168.17.19的445端口有多个异常连接,且还在尝试与其他设备的连接,说明该恶意程序会去主动扫描其他设备的445端口。网络连接如下图所示:

1611483758_600d4a6e20c5ca68212c7.png!small

2.3      查看异常进程和文件

先查一下与192.168.17.19建立连接的进程,从上图看,在任务管理器中找不到PID为17380的进程,说明该进程做了隐藏,或者注入到其他进程中了。此时需要借助一些查看进程的工具,比如pchunter/ProcessExplorer等,借助工具pchunter,找到了可疑进程文件的路径为c:\windows\appdiagnostics\svchost.exe,如下图所示。

1611483779_600d4a8300d97f1563451.png!small

该文件乍一看没啥异常,但是仔细分析会发现,正常的svchost.exe文件是在c:\windows\system32文件夹下,基本可以判断该exe文件异常。查看文件创建时间,系2017年4月15日创建的,而发现时间为2019年3月21日17:00时许,说明该恶意程序或者其变种已经在市面上存活了近2年的时间。

1611484028_600d4b7cb74f909b4713c.png!small?16114840290652.4      云查杀

把可疑文件复制到本机,为了进一步确认是否是恶意程序,把该文件上传到病毒云查杀平台www.virscan.org进行在线扫描,发现49款杀毒软件中有33款(66.7%)认定为病毒文件,至此基本可以断定该文件是病毒文件。

1611483843_600d4ac3c69982ba0d525.png!small?1611483844159

2.5      手工删除

在完成重要数据备份后(这一步非常重要,以防病毒处理过程中数据丢失),压缩备份svchost.exe文件后,对其进行删除,提示无法删除,借用pchunter删除后,直接导致系统奔溃,重启后该进程又出现,说明该恶意程序有守护进程。

2.6      防病毒软件查杀

找系统管理员在服务器上安装防病毒软件,并进行全盘扫描,共扫出病毒、木马、后门等危险程序51个,并进行了自动删除,其中有一个文件需要重启服务器才能完成清除,病毒文件绝大多数文件在C:\Windows\AppDiagnostics目录下。之后观察病毒不再恢复,至此,病毒查杀告一段落。

然而查杀后发现第二天被告知该服务器上XX服务异常(行业特有软件,需脱敏)。系统管理员此时告诉我,厂家多次交待不可以在XX服务器上安装防病毒软件。使用杀毒软件完成病毒查杀,但同时也导致XX服务异常,影响到了业务,到目前为止,算是一次失败的病毒处理过程。还好,该服务器是在虚拟机上部署,恢复镜像即可。

2.7      借鉴已知信息

上网搜索恶意程序的路径关键字“C:\Windows\AppDiagnostics”,找到了深信服2018年11月22日发布的关于WannaMine 3.0的报告,文中有对WannaMine 3.0的工作原理进行详细的分析,且提供了WannaMine 3.0专杀工具,使用专杀工具,将恶意程序完全删除,经观察恶意程序没有再次复活。报告原文详见http://www.sangfor.com.cn/about/source-news-company-news/1169.html

2.8      全面排查

对所有windows服务器进行全面排查,发现另有7台服务器中了同样的WannaMine 3.0挖矿病毒,采用专杀工具完成病毒查杀,并打MS17-010补丁。从文件属性看,中毒时间可追溯到2018年11月18日,离发现时间已经有4个多月了。

1611483861_600d4ad561f3ab53efd05.png!small?1611483861706

3          事件总结

通过本次挖矿病毒事件的处理,总结如下:

  • 一定要充分借鉴已知信息,多去网上搜索,看是否有相关的报道,站在巨人的肩膀上才能事半功倍,而不是蛮干,这也是我整理这一系列资料的初衷,把自己踩过的坑和好的建议拿出来共享。
  • 公司当前系统补丁更新不及时。该漏洞编号为CVE-2017-0144,补丁编号为MS17-010,微软于2017年3月份发布的补丁,如此重要的补丁两年过去了该补丁依然没有修复。事后制定并发布《系统补丁升级管理办法》,要求定期更新系统安全补丁。
  • 目前主动发现威胁能力太弱。从病毒文件的属性看,该病毒首次创建时间为2018年11月18日的8:38:18,几乎在几分钟之内迅速感染另外7台服务器,而我们却丝毫没有察觉到。应在网络的边界及核心服务器网段部署必要的安全设备,如IPS/IDS等,主动监测安全威胁(IDS和IPS目前均已部署)。
  • 要求所有windows服务器择机安装公司统一的防病毒软件。

来源:freebuf.com 2021-01-25 13:58:13 by: nbawrl

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论