X
请选择要咨询的内容
下一代防火墙NGAF/云守 上网行为管理AC/SG SSL VPN/EMM IPSec VPN/MIG 广域网优化WOC 应用交付AD 桌面云aDesk 企业级云aCloud
开始咨询

新闻动态

News

深信服,让IT更简单、更安全、更有价值

多款病毒变种利用永恒之蓝再次席卷而来!

/ 2018-04-19

    近期,北京赛车pk10搜狐:多款热门病毒变种正在利用永恒之蓝漏洞进行蔓延,威胁程度达到高危,影响范围广泛。深信服紧急预警,提醒广大用户做好安全防护措施!

病毒分析

    近期出现的利用永恒之蓝漏洞的多款病毒包括:Satan勒索病毒变种、WannaMine挖矿变种、PowershellMiner无文件挖矿变种以及WannaCry勒索2.0蓝屏变种。

01、Satan勒索变种

    用户一旦遭受Satan勒索变种攻击,重要文档和数据库文件均可能被加密,并被勒索0.3个比特币。Satan勒索变种攻击过程如下:


其中:

1.st.exe是母体,执行后会下载ms.exe和Client.exe。

2.ms.exe是一个自解压文件,包含的blue.exe和star.exe执行永恒之蓝漏洞攻击。

3.一旦攻击成功后,star.exe加载payload(down64.dll),负责下载并运行st.exe。

4.Client.exe是Satan勒索病毒,执行文件加密操作,并弹出勒索信息。

5.每感染一台后,都会重复执行1、2、3、4步骤,在局域网进行扩散。

02、WannaMine挖矿变种

    WannaMine挖矿变种会造成用户服务器和PC异常卡顿,消耗主机大量CPU资源。其攻击过程如下:


1.srv是主服务,每次都会进行开机启动,启动后加载spoolsv。

2、WannaMine挖矿变种2.spoolsv对局域网进行445端口扫描,确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程序svchost.exe和spoolsv.exe。

3.svchost.exe执行永恒之蓝漏洞溢出攻击(目的IP由步骤2确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。

4.payload(x86.dll/x64.dll)执行后,负责将MsraReportDataCache32.tlb从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行攻击。

5.每感染一台,都重复步骤1、2、3、4,在内网扩散。

03、PowershellMiner无文件挖矿变种


    PowershellMiner挖矿变种没有本地恶意文件,用户难以发觉,往往能够消耗主机90.0%以上CPU资源,造成主机性能异常卡顿。其攻击顺序如下:


1.首先,挖矿模块启动,持续进行挖矿。

2.其次,Minikatz模块对目的主机进行SMB爆破,获取NTLMv2数据。

3.然后,WMIExec使用NTLMv2绕过哈希认证,进行远程执行操作,成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来,流程结束。

4.最后,如果WMIExec攻击失败,则尝试使用MS17-010永恒之蓝漏洞攻击,成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来。

5.每感染一台主机,都重复步骤1、2、3、4,在内网进行扩散。

04、WannaCry勒索2.0蓝屏变种

该勒索变种并不会勒索成功,但由于漏洞利用不当,常常导致主机蓝屏崩溃。在服务器场景下,对企业业务影响极大。

此变种是WannaCry的2.0版本,2018年仍然十分活跃。之前的版本会释放勒索程序对主机进行勒索,但此变种的勒索程序在主流Windows平台下运行失败,无法进行勒索操作。但如果内网中多个主机感染了该病毒,病毒会互相之间进行永恒之蓝漏洞攻击,该漏洞的利用使用堆喷射技术,该技术漏洞利用并不稳定,有小概率出现漏洞利用失败,在利用失败的情况下,会出现被攻击主机蓝屏的现象。

深信服应对建议

针对广大用户,建议进行日常防范措施:

1.不要点击来源不明的邮件附件,不从不明网站下载软件;

本文地址:http://www.wxcrl.com/about/source-news-product-news/1019.html
文章摘要:,树荫拆迁人低头,体育舞蹈赐教酶标仪。

2.及时给主机打上永恒之蓝漏洞补丁,修复此漏洞;

3.对重要的数据文件定期进行非本地备份;

4.尽量关闭不必要的文件共享权限以及关闭不必要的端口,如:445,135,139,3389等。

针对使用深信服产品的用户,深信服紧急响应,第一时间为用户提供解决方案:

1.深信服下一代防火墙已支持阻断针对永恒之蓝漏洞的各种热门攻击。下一代防火墙用户升级僵尸网络识别库到20180407及以上版本,升级病毒库到20180406及以上版本即可。

2.深信服安全感知产品的用户,可直接探测永恒之蓝漏洞攻击的移动情况和内网安全状况。



3.深信服终端检测响应平台(EDR)提供端点防护和病毒清理功能,EDR的用户可以直接有效地清除相关病毒。



4.使用深信服立体防护解决方案的用户无需担心,通过深信服下一代防火墙+安全感知+EDR,三者相互联动响应,实现边界到终端的完整防护、检测和响应,有效应对永恒之蓝漏洞攻击。


©2000-2017    深信服科技股份有限公司    版权所有     粤ICP备08126214号-5

深信服科技
深信服科技
pk10最牛稳赚模式4码 pk10长龙统计表 北京赛pk10怎么玩 pk10前五缩水软件 北京pk10七码稳赚技巧
pk10最高遗漏多少期 北京赛车pk10外围玩法介绍 北京赛车最长的长龙 北京赛车pk10稳赚方案 北京小汽车pk10官网
北京pk拾有什么规律吗 万人网北京pk10预测 北京赛车pk10众购彩票网 北京pk10自动挂机 北京赛车pk10直播23
北京赛车pk10机器人软件下载手机 北京赛车pk10的网站 皇家彩世界1396p pk10一位走势怎么看 北京赛车5码计划准的
安徽快三开奖结果查询 五分彩通过微信体现转账的 福建11选5手机软件 上海快3玩法说明 开奖香港赛马会
浙江十一选五的走势图 南国彩票七星彩论坛 内蒙古快三助手下载 重庆幸运农场开奖历史 赛车pk10开奖记录
黑龙江时时彩彩经网 银川十一选五走势图 甘肃快3基本走势图 江苏7位数体彩123 白小姐中特网
爱彩乐十一选五 江西快3推荐 快乐8官方登录 欢乐诈金花 pk10