六小時處置挖礦蠕蟲的內(nèi)網(wǎng)大規(guī)模感染事件 |
||||||||||||||||||
來源:聚銘網(wǎng)絡(luò) 發(fā)布時間:2019-10-15 瀏覽次數(shù): | ||||||||||||||||||
信息來源:FreeBuf.com 一、應(yīng)急服務(wù)背景2019年5月,安天接到某重要單位的求助,其內(nèi)網(wǎng)中執(zhí)行任務(wù)的上百臺主機頻繁出現(xiàn)死機、重啟、藍屏等現(xiàn)象,用戶原部署使用的某款殺毒軟件能查出病毒告警,但顯示成功清除后,病毒很快會重新出現(xiàn)。用戶嘗試采用其他工具進行處理,未能解決問題,遂向我們尋求幫助。在電話遠程協(xié)助用戶處置的同時,我們派出由安全服務(wù)工程師、智甲終端防御系統(tǒng)產(chǎn)品支持工程師組成的應(yīng)急服務(wù)小組,攜智甲終端防御系統(tǒng)安裝盤、便攜式探海威脅檢測系統(tǒng)、拓痕應(yīng)急處置工具箱,及最新病毒庫、補丁包等配套資源,于接到求助當(dāng)日傍晚飛抵用戶現(xiàn)場進行處置,快速解決了問題。 二、現(xiàn)場信息采集觀測和研判工程師到達現(xiàn)場后,快速與用戶進行了交流研判,共同確定了基于部署探海進行流量側(cè)的監(jiān)測分析、通過拓痕進行端點的信息采集和證據(jù)固化,制定合理安全配置加固策略,全面安裝智甲終端防御系統(tǒng),實現(xiàn)所有終端安全策略加固、統(tǒng)一補丁安裝和全網(wǎng)查殺的處置流程。 應(yīng)急服務(wù)小組在協(xié)助用戶配置交換機鏡像設(shè)置后,通過探海發(fā)現(xiàn)了大量內(nèi)網(wǎng)掃描和基于永恒之藍漏洞的攻擊流量,以及匹配到威脅情報規(guī)則標(biāo)記為礦池的域名連接請求,又通過拓痕應(yīng)急處置工具對感染主機進行了掃描、對可疑文件與關(guān)聯(lián)信息進行提取,結(jié)合用戶已采集安全日志和其他工具,協(xié)助用戶完成了證據(jù)固化。工程師初步判定出,這是一起WannaMine挖礦蠕蟲,通過永恒之藍漏洞,反復(fù)傳播感染事件。應(yīng)急服務(wù)小組根據(jù)預(yù)案,在嚴(yán)格執(zhí)行用戶“樣本文件不離場”的要求下,前后臺快速協(xié)同聯(lián)動,在征得用戶同意后,僅將掃描發(fā)現(xiàn)的病毒名稱、樣本HASH等信息通報給我們的應(yīng)急響應(yīng)中心(以下簡稱安天CERT),進行分析支持和研判驗證。我們從支撐平臺提取相同HASH的樣本,結(jié)合已有分析驗證,在事件機理成因方面,與進場服務(wù)小組作出完全一致的判斷:由于用戶側(cè)部署的原有殺毒軟件無法有效支持補丁升級、且沒有主機策略配置加固,導(dǎo)致病毒被清除后,會繼續(xù)通過漏洞重新打入,致使感染源始終存在,其中部分用戶終端在被永恒之藍漏洞攻擊中會藍屏。對此,應(yīng)急服務(wù)小組基于全網(wǎng)終端安裝智甲和統(tǒng)一掃描,并部署智甲軟件管理中心,全面提取了相關(guān)信息,分析確認(rèn)了病毒最早的出現(xiàn)日期,為用戶定位該批設(shè)備的最初感染源提供了信息支撐。 制定加固策略、分發(fā)安全補丁、查殺終端威脅該蠕蟲的傳播機理為:迅速利用EternalBlue(“永恒之藍”)漏洞在局域網(wǎng)內(nèi)傳播自身,形成更加龐大的挖礦網(wǎng)絡(luò)。該漏洞使用445端口傳播,對應(yīng)補丁為MS17-010。如果主機沒有安裝相應(yīng)補丁或關(guān)閉相關(guān)端口,則無法阻擋該病毒在內(nèi)網(wǎng)中的滲透傳播。根據(jù)智甲檢測日志,出現(xiàn)病毒感染、藍屏等故障的主機均未安裝MS17-010補丁。 應(yīng)急服務(wù)小組調(diào)研了用戶現(xiàn)有業(yè)務(wù)系統(tǒng)所采用的通訊端口、協(xié)議等情況,對用戶將端點做了初步分組,對默認(rèn)安全策略模板(參考STIG標(biāo)準(zhǔn))進行了部分定制調(diào)整。之后借助管理中心啟動了補丁統(tǒng)一分發(fā)、策略調(diào)整和統(tǒng)一查殺。經(jīng)工程師連夜不間斷奮戰(zhàn),在到場六小時后將一百多臺染毒主機、全部完成了對應(yīng)補丁升級、安全策略加固和病毒查殺工作。 三、深度分析支持和支持歸零復(fù)盤后端分析團隊基于樣本HASH進行了深度分析并于第一時間為用戶提供了WannaMine挖礦病毒樣本的詳細分析報告。(詳見附錄一) 在現(xiàn)場病毒情況得到控制的同時,該單位相關(guān)負責(zé)人希望我們能夠在其實驗環(huán)境中復(fù)現(xiàn)該病毒的攻擊過程。工程師根據(jù)事發(fā)現(xiàn)場的情況搭建了模擬環(huán)境,根據(jù)處置前固化的感染系統(tǒng)端點鏡像,模擬現(xiàn)場情況并恢復(fù)了相關(guān)環(huán)境,提供了探海檢測系統(tǒng)生成監(jiān)測日志、并進行錄包,指導(dǎo)用戶通過Wireshark對數(shù)據(jù)包進行解析觀察,在實驗環(huán)境中復(fù)現(xiàn)了整體攻擊過程和具體故障表現(xiàn),為用戶后續(xù)對事件進行歸零復(fù)盤提供了依據(jù)。 應(yīng)急服務(wù)小組協(xié)助用戶完成最終判定,這是一起由第三方設(shè)備帶毒入網(wǎng)導(dǎo)致的安全事件,昭示出供應(yīng)鏈安全側(cè)的安全風(fēng)險。 四、用戶評價本次應(yīng)急事件處理完成后,我們受邀參加了該單位針對此事件的歸零報告評審會議,用戶對本次安全事件十分重視,單位領(lǐng)導(dǎo)對我們的應(yīng)急響應(yīng)處置能力、技術(shù)支持水平及智甲等產(chǎn)品的查殺和防御能力給予了高度評價,同時提出了和我們建立長期的安全服務(wù)關(guān)系,并采購了探海和智甲產(chǎn)品。 五、應(yīng)急處置方案及后續(xù)安全建議5.1 應(yīng)急處置方案我們的安全服務(wù)中心提示,通過智甲終端防御系統(tǒng)可以實現(xiàn)內(nèi)網(wǎng)端點系統(tǒng)統(tǒng)一補丁升級、安全加固策略配置和病毒統(tǒng)一查殺。 在沒有我們的智甲部署的情況下,遇到蠕蟲反復(fù)感染對應(yīng)問題的用戶建議采取以下緩解措施:
5.2 后續(xù)安全建議本次事件主要是由于第三方廠家提供的設(shè)備帶毒入網(wǎng)后引起的病毒內(nèi)網(wǎng)傳播感染事故,是一起典型的由供應(yīng)鏈引起的病毒感染傳播事件,我們對用戶提出了后續(xù)安全建議: 1. 技術(shù)方面
2. 管理方面
3. 安全產(chǎn)品和工具使用方面
對規(guī)?;母邇r值信息資產(chǎn)防護,僅僅依靠產(chǎn)品組合使用無法保證安全,應(yīng)以疊加演進模型,進行能力導(dǎo)向的安全規(guī)劃建設(shè),依次做好基礎(chǔ)結(jié)構(gòu)安全、縱深防御、態(tài)勢感知與積極防御、威脅情報等安全工作,建設(shè)動態(tài)綜合安全防御體系。 附錄一:WannaMine蠕蟲樣本分析報告安天CERT分析小組,根據(jù)應(yīng)急服務(wù)小組所提供的樣本HASH值,通過安天“賽博超腦”分析平臺提取了樣本進行分析。通過對病毒樣本進行逆向分析發(fā)現(xiàn),其屬于WannaMine挖礦病毒的變種版本。WannaMine是一款旨在挖掘Monera加密貨幣的蠕蟲病毒。WannaMine變種會最大限度的利用CPU來挖掘Monera加密貨幣,使應(yīng)用程序以及系統(tǒng)崩潰。當(dāng)用戶感染W(wǎng)annaMine變種之后,WannaMine變種會迅速利用EternalBlue(“永恒之藍”)漏洞在局域網(wǎng)內(nèi)傳播自身,形成更加龐大的挖礦網(wǎng)絡(luò)。
表1樣本標(biāo)簽 一、 樣本傳播方式圖 1 樣本傳播方式 樣本中spoolsv.exe(以下稱為spoolsv.exe_A)對EnrollCertXaml.dll進行解密,得到wmassrv.dll。wmassrv.dll是主服務(wù),會在C:\Windows\SpeechsTracing\Microsoft\目錄下生成NSA漏洞利用工具,在C:\Windows\System32\目錄下生成HalPluginsServices.dll。wmassrv服務(wù)啟動后會調(diào)用HalPluginsServices.dll,HalPluginsServices.dll會啟動spoolsv.exe_A。spoolsv.exe_A會對局域網(wǎng)進行445端口掃描,確定可攻擊的內(nèi)網(wǎng)主機,然后啟動挖礦程序以及漏洞攻擊程序svchost.exe和spoolsv.exe(另外一個病毒文件,以下稱為spoolsv.exe_B);svchost.exe執(zhí)行“永恒之藍”漏洞對可攻擊的內(nèi)網(wǎng)主機進行漏洞溢出攻擊,成功后spoolsv.exe_B(NSA黑客工具包DoublePulsar后門)在攻擊成功的主機上安裝后門,加載payload(x86.dll/x64.dll);payload執(zhí)行后,負責(zé)將EnrollCertXaml.dll從本地復(fù)制到受害主機,再解密該文件,注冊wmassrv.dll為服務(wù),啟動spoolsv.exe_A執(zhí)行攻擊。 二、 樣本的危害范圍與危害程度1. 樣本危害范圍 本次任務(wù)獲取的樣本利用了“永恒之藍”漏洞,該漏洞利用的操作系統(tǒng)平臺為windows,從該樣本釋放的載荷分析發(fā)現(xiàn)了針對32位和64位不同操作系統(tǒng)的執(zhí)行程序(X86.dll以及X64.dll),同時對樣本代碼進行逆向分析發(fā)現(xiàn),該樣本只會在局域網(wǎng)的同一網(wǎng)段上傳播,不會跨網(wǎng)段擴散。(注:“永恒之藍”是美國國家安全局開發(fā)的漏洞利用程序,是方程式組織在其漏洞利用框架中的一個針對SMB服務(wù)進行攻擊的模塊?!坝篮阒{”利用了MS17-010漏洞,該漏洞可以讓攻擊者在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。2017年5月份爆發(fā)的WannaCry蠕蟲病毒便是利用“永恒之藍”進行傳播的。) spoolsv.exe_A運行后會對C:\Windows\System32\EnrollCertXaml.dll進行解密操作,解密后的文件wmassrv.dll會生成NSA漏洞利用工具集和HalPluginsServices.dll。 圖 2 漏洞攻擊工具集 spoolsv.exe_A會將wmassrv.dll注冊為服務(wù)。該服務(wù)由svchost.exe啟動,啟動后wmassrv.dll會注入到svchost.exe進程中。 圖 3將wmassrv.dll注冊為服務(wù) 圖 4 服務(wù)wmassrv spoolsv.exe_A會獲取主機IP,掃描主機所在的內(nèi)網(wǎng)網(wǎng)段(%d.%d.%d.*),判斷內(nèi)網(wǎng)中是否有主機開啟了445端口。如果發(fā)現(xiàn)局域網(wǎng)內(nèi)有主機開啟了445端口,就將相應(yīng)的IP地址和端口號寫入到“永恒之藍”攻擊程序svchost.exe的配置文件svchost.xml中。然后spoolsv.exe_A啟動svchost.exe(“永恒之藍”攻擊程序)對局域網(wǎng)內(nèi)的主機進行攻擊,同時將行為特征記錄到stage1.txt。 圖 5 掃描局域網(wǎng)內(nèi)主機 “永恒之藍”漏洞利用程序攻擊結(jié)束之后,spoolsv.exe_A會修改DoublePulsar后門程序spoolsv.exe_B的配置文件spoolsv.xml,然后啟動spoolsv.exe_B(NSA黑客工具包DoublePulsar)安裝后門程序,同時將行為特征記錄到stage2.txt。 圖 6 將攻擊記錄到stage2.txt wmassrv.dll生成的NSA漏洞利用工具集中包含payload文件x86.dll和x64.dll,spoolsv.exe_B會根據(jù)受害主機的操作系統(tǒng)執(zhí)行不同的payload。payload執(zhí)行后,會將EnrollCertXaml.dll復(fù)制到受害主機,然后將wmassrv.dll安裝為服務(wù)。服務(wù)安裝后,可以啟動spoolsv.exe_A,進行新一輪的漏洞利用與payload加載。 2. 樣本危害程度 WannaMine變種沿用WannaMine的傳播方式,利用了MS17-010漏洞的便利,使用“永恒之藍”漏洞利用程序在局域網(wǎng)中迅速傳播,導(dǎo)致局域網(wǎng)中的主機都在挖礦。WannaMine變種的礦池站點仍然指向nicehash.com、minergate.com。 相關(guān)樣本攻擊載荷落地后會即時發(fā)起攻擊,沒有潛伏期。在實驗環(huán)境復(fù)現(xiàn)的過程中,被攻擊主機的現(xiàn)象也是即時發(fā)生的,繼而驗證了病毒的即時發(fā)作特性。同時,局域網(wǎng)主機感染了該挖礦病毒后會相互進行永恒之藍漏洞攻擊,漏洞利用過程中使用了堆噴射技術(shù),因此一定概率會導(dǎo)致漏洞利用失敗導(dǎo)致被攻擊主機藍屏重啟等現(xiàn)象。
|
||||||||||||||||||