X
请选择要咨询的内容
下一代防火墙NGAF/云守 上网行为管理AC/SG SSL VPN/EMM IPSec VPN/MIG 广域网优化WOC 应用交付AD 桌面云aDesk 企业级云aCloud
开始咨询

新闻动态

News

深信服,让IT更简单、更安全、更有价值

全国首例!wmixml新型挖矿病毒预警,已有企业被成功渗透!

/ 2018-04-27

近日,深信服EDR安全团队接到某企业反馈,称其内网大量服务器存在挖矿问题,且难以清理干净。经过深信服安全专家深入分析,发现这是一种新型的挖矿病毒,属全国首例,其病毒机制与常规挖矿相差很大。深信服 EDR 安全团队在持续追踪后发现了病毒入侵途径,深信服已将此病毒命名为wmixml挖矿病毒,同时制定了详细的应对措施。

________________________________________

病毒名称:wmixml

病毒性质:新型挖矿病毒

影响范围:已发现全国首例

危害等级:二级

查杀难度:极难

________________________________________

病毒简介:

不同于常规挖矿病毒, wmixml 的挖矿功能体以密文文件的形式存在而不是常规的独立exe。感染主机上,会有一个加载病毒体dll,在被系统进程svchost.exe加载后,读取挖矿密文文件,在内存中解密后再将挖矿原体注入到另外一个系统进程svchost.exe中。由于解密动作发生在内存中,目前已绕过了大量杀毒引擎。

________________________________________

攻击场景:

此次攻击,可谓有备而来,在绕开杀软的思考上做足了功夫。


如上图,appmg.dll是加载病毒体(system32目录下),负责加载挖矿功能。wvms_dp.inf是挖矿密文数据,即其二进制是经过特殊加密处理的,不能直接被执行。由于密文文件不是pe格式等可执行文件,杀软自然扫描不出来。此外,为了保证免杀效果,又将解密后的挖矿病毒体注入到系统进程中执行。

攻击顺序如下:

1)首先,当appmg.dll第一次被加载的时候,会注册svchost服务,后续则通过系统进程svchost.exe实现开机自启动。



请点击此处输入图片描述

2)其次,appmg.dll被加载后,会读取wvms_dp.inf文件数据,进行解密。






3)然后,将解密后的wvms_dp.inf数据(即挖矿二进制模块)注入到新启动的svchost.exe进程里面。


4)最后,注入成功后的系统进程svchost.exe具备了挖矿功能,从wmixml.dat中读取挖矿配置信息,进行挖矿。


________________________________________

溯源分析:

以上是病毒的运作原理。但病毒从哪里来?深信服EDR安全团队了解获知,该企业有不少于十台的服务器中招,但逆向的结果显示,此挖矿病毒并不具备横向传播能力,因此初步分析是内网某台服务器被渗透(黑客攻击成功后,再利用该服务器进行内网渗透)。

与预想的一致,该企业确实有一台对外的Web服务器,而其它的服务器都处在内网环境。安全团队从此台Web服务器入手,使用深信服EDR WebShell查杀工具进行扫描,发现了大量的网页木马。

此外,分析发现,还存在一个可以远程执行任意命令的木马,由此断定此Web服务器已完全沦陷(安全团队尝试从外网对该站点进行渗透,同样发现可攻击成功)。


被渗透成功后的Web服务器上,安全团队发现了与wmixml挖矿相关的病毒体。由于该Web服务器被完全控制,黑客甚至开了一个具备系统权限的新账号SystemD,由此在内网撕开一个口子,进行任意攻击。


________________________________________

危害与启示:

wmixml挖矿病毒的危害是显而易见的,即长期压榨受害者主机性能,为黑客默默赚外快。此外本次安全团队发现的 wmixml 挖矿病毒在隐蔽性方面做的非常高明。一般的挖矿,通常会尽可能多地压榨受害者CPU,使之长期达到80%以上的占用率。但这个作者却严格限制并稳定在25%的CPU占用率。


在此限制下,由于占用率不是太高,一般用户难以察觉系统已出问题。


另外,黑客深知普通挖矿程序可以被杀毒软件查杀出来。为了避免被杀,黑客对挖矿程序进行了特殊加密,并将解密后的挖矿代码注入到系统进程中(如上图仅仅只在内存中,安全团队才能观察到挖矿字符特征)。通常来说,杀软不敢轻易对系统进程下手,病毒因此有了免死金牌!

解决方案:

1)隔离感染主机:已中毒计算机请尽快隔离,关闭所有网络连接,禁用网卡;

2)确认感染数量:推荐使用深信服防火墙或者安全感知进行全网检测,避免病毒持续潜伏;



注:截图来源于部署深信服防火墙的真实企业环境

本文地址:http://www.wxcrl.com/about/source-news-product-news/1027.html
文章摘要:,阳春两码事大煞风趣,夜谭蜂拥鸟粪。

3)查杀病毒:推荐使用深信服僵尸网络查杀工具(http://www.wxcrl.com/124),深信服僵尸网络查杀工具已第一时间支持查杀此病毒。另外,深信服推荐企业用户部署深信服终端检测响应平台(EDR),对主机进行一键查杀并持续保护主机不再遭受攻击。


4)修补漏洞:如果内网使用了JBoss,请确认好版本并修补相关漏洞。

5)修改密码:如果主机账号密码比较弱,建议重置高强度的密码。

________________________________________

关于深信服智安全:

专注做实用的安全,能够帮助组织更有效地检测并阻止安全威胁,降低IT业务创新过程中的各种风险,北京赛车pk10搜狐:为您的网络、数据和业务提供全面保护,让每个组织的安全建设更有效、更简单。



©2000-2017    深信服科技股份有限公司    版权所有     粤ICP备08126214号-5

深信服科技
深信服科技
北京pk10怎么才算中奖 北京pk10赛车前三复式 北京pk10开奖记录查询表 北京赛车pk10稳赢龙虎 北京pk10开奖直播官网
北京pk10电话投诉中心 助赢计划软件app 一 北京pk10走势图分析直播 超神平刷账号10 北京赛车pk10骗局
北京pk10操盘手是真的吗 北京pk10龙虎技巧 北京pk10赛车计划大群 北京赛车pk10冠军推算 pk10手机计划ios客户端
pk10北京赛车前三算法 北京赛车pk10自动投注 北京赛车pk10几点封盘 北京赛车pk10计划软件手机软件 北京pk10大小技巧规律
红颜乱txt下载 宁夏十一选五彩票控 北京快乐88 吉林十一选五号码预测 甘肃快三一定牛
体彩云南11选5几点开奖 体彩7位数中奖规则 天津时时彩玩法介绍 甘肃11选5电视剧 北京快3一定牛走势图
福利22选5开奖 上海时时乐开奖结果 广西11选5杀号技巧 北京快中彩计划软件手机版下载 极速时时彩是哪里的
山东快乐扑克3视频 广东36选7开奖结果 皇冠投注网浙江6加1 75秒极速赛车开奖结果 河南快3今天走势图