再记一次挖矿病毒应急响应

文章目录

一、事件发生背景二、初步排查判断三、追踪溯源四、事件原因分析。五、改进建议

5.1 关闭445端口5.2 修改RDP协议默认端口 六、WannaMine 4.0挖矿病毒

6.1 简介6.2 攻击流程6.3 如何防范 一、事件发生背景

办事处部署的TAR产生挖矿告警，如下图（1）TAR挖矿告警所示。告警显示是售前用来存储文件的服务器（IP10.33.15.240）中了CoinMiner挖矿病毒。
                            图（1）TAR挖矿告警

二、初步排查判断

  通过分析TAR设备告警，登录相关服务器进行排查。使用命令cmd-stat -ano。
                            图（2）命令执行结果

  根据TAR提供的矿池地址，查找此服务器的TCP连接，成功定位相关PID为696，如上图（2）命令执行结果所示。

  根据PID 696使用命令tasklist | findstr “696”确定运行的恶意服务。成功找到相关PID运行的恶意exe，如下 图（3）恶意exe 所示。

                            图（3）恶意exe

  使用命令mic process here processid=696 get processid,executablepath,name，成功确定恶意exe文件的位置，如下图（4）恶意exe路径 和 图（5）恶意exe文件 所示。

                            图（4）恶意exe的位置

                            图（5）恶意exe文件

  对相关恶意exe在微步云沙箱中检测，分析结果和TAR告警一致，如下图（6）微步沙箱检测所示。

                            图（6）微步沙箱检测

   使用火绒对服务器进行查杀，查杀结果如下图（7）火绒查杀结果 所示。
                            图（7）火绒查杀结果

三、追踪溯源

  查看相关服务器安全日志，发现自2021.11.30 11.40 开始，有大量事件ID为4625的事件记录，源IP为10.33.15.164，使用的账户名为vneus，失败原因账户密码过期。如下图（8）Windos安全日志所示。Windos事件ID 4625记录的是每一个尝试登录失败本地计算机的事件，无论登录类型、用户的位置、账户。
                            图（8）Windos安全日志

  初步判定是内网相关主机感染病毒之后，病毒程序通过爆破SMB服务，将病毒传染给此服务器。继续分析安全日志，发现在2021.12.01 15:54:25，源IP为10.33.52.50的用户通过venus用户成功登录服务器，如下图（9）Windos安全日志所示。
                            图（9）Windos安全日志

   此时vneus用户密码更新，在2021.12.01 17:15:31，源IP为10.33.53.164的内网主机成功爆破出venus账户密码，如下图（10）Windos安全日志所示。
                            图（10）Windos安全日志

   10.33.15.164无权限查看，等申请之后在进行溯源。

四、事件原因分析。

结合WannaMine 4.0挖矿病毒特性，事件原因分析如下

内网主机33.53.164感染WannaMine 4.0挖矿病毒后，病毒程序爆破目标服务器venus用户密码。venus账户密码过期，爆破一直失败。期间有人员正常使用venus用户登录服务器，更新了venus账户密码。此时病毒程序成功爆破出venus账户密码。病毒程序通过445端口的SMB服务成功将病毒传播给此服务器。

五、改进建议 5.1 关闭445端口

点击 “控制面板-Windos防火墙”，确保启用了Windos防火墙。在左边栏点击“高级设置”，系统会自动弹出Windos防火墙高级配置窗口。点击“入站规则”，然后再点“新建规则”，在向导窗口中选择要创建的规则类型，选“端口”，点击“下一步”。接下来选择你要禁用的网络类型（TCP或者UDP），在“特定本地端口”写入你要禁用的端口，例如“445”，然后下一步。选择“阻止连接”，下一步，应用规则看情况修改，可以维持不变，继续下一步，填写名称“禁用445端口”，点击完成。

5.2 修改RDP协议默认端口

打开注册表。找到HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal Server WdsrdpdTdsTcp下PortNumber键的键值0xd3d，是16进制，也就是10进制的3389，也就是RDP协议的端口，改成你欲设的端口。找到HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminalServer WinStationsRDP-Tcp下PortNumber键的键值0xd3d，是16进制，也就是10进制的3389，也就是RDP协议的端口，改成你欲设的端口（必须与第一步修改的一致）。重启电脑。

六、WannaMine 4.0挖矿病毒 6.1 简介

  CoinMiner是WannaMine挖矿病毒最新变种文件，该变种文件基于WannaMine3.0改进，加入了一些新的免杀技术和爆破手段，其传播机制与WannaCry勒索病毒一致，可在局域网内通过SMB快速横向扩散，我们将其命名为WannaMine 4.0，其检测名为CoinMiner.Win64.TOOLXMR.AR。WannaMine4.0挖矿主体病毒文件为dllhostex.exe，负责挖取门罗币。
  原始“压缩包”rdpkax.xsl含有攻击需要的所有组件，其是一个特殊的数据包，需要病毒自己解密分离出各个组件，其组件包含“永恒之蓝”漏洞攻击工具集（svchost.exe、spoolsv.exe、x86.dll/x64.dll等）。

6.2 攻击流程

主服务dll由系统进程加载，以确保每次都能开机启动，启动后加载spoolsv.exe。exe对局域网进行445端口扫描，确定可攻击的内网主机。启动漏洞攻击程序svchost.exe。exe执行“永恒之蓝”漏洞攻击，成功后安装后门程序spoolsv.exe，加载payload（x86.dll/x64.dll）。payload（dll/x64.dll）执行后，复制rdpkax.xsl到目标主机，解密后注册主服务，进行新的攻击，每一台被攻击机器都重复着同样的攻击流程。与0不同的是，该变种使用了服务文件名称和内容的随机行来进行免杀，进而payload文件与之前版本相比也发生了变化。主服务的命名规则为“字符串1+字符串2+字符串3”，如上面提及的RemoteTimeHost，即Remote+Time+Host。

6.3 如何防范

利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务，关闭方法见改进意见）。尽量关闭不必要的文件共享；采用高强度的密码，避免使用弱口令密码，并定期更换密码；打开系统自动更新，并检测更新进行安装。系统打上MS17-010对应的Microsoft Windos SMB服务器安全更新(4013389)补丁程序。