2).WannaMine4.0影响范围存在MS17-010漏洞,开放了445端口SMB网络共享协议的Windows系统。该dll模块路径如下:“c:\windows\syswow64\windowsprotocolhost.dll”,可以发现模块名符合WannaMine4.0主模块的名称字符串随机组合。5).通过Autonus找到“windowsprotocolhost.dll”文件的服务项。
前言
这次来写一篇WannaMine 4.0挖矿的杀毒处置,虽然感觉这病毒现在有点烂大街,相关处置文档也有很多,但还是想写点总结一下,希望大家看的时候能将WannaMine 4.0的扩散步骤和处置步骤结合起来看,这样理解会更深刻一点,并且文章末尾也会总结本次的处置步骤。
同样,这个处置步骤也适用于其他Windows病毒的处置,希望大家能够通过这篇文章学到的不仅仅是处置WannaMine 4.0病毒。
一、WannaMine 4.0 介绍
1).WannaMine 4.0基本介绍
WannaMine 4.0是当前WannaMine挖矿病毒的一个最新型的变种,之前已经存在了WannaMine 1.0、WannaMine 2.0、WannaMine 3.0版本。
WannaMine 4.0是基于WannaMine 3.0改造后的一个变种,又加入了一些新的免杀技术,传播机制与WanaCry勒索病毒一致,局域网内,都是通过利用其他主机开放的SMB服务,加载“永恒之蓝”漏洞利用模块对内网进行横向扩散,发起大量的smb扫描,爆破行为。
2).WannaMine 4.0影响范围
存在MS17-010漏洞,开放了445端口SMB网络共享协议的Windows系统。
二、WannaMine 4.0 扩散步骤
可以看到,WannaMine 4.0原始压缩包已经变成了rdpkax.xsl,这是一个特殊的数据包,只能由病毒自身进行解密分离出各个组件,里面同样包含了”永恒之蓝”漏洞利用工具集。
攻击步骤:
1.主服务ApplicationNetBIOSClient对应动态库ApplicationNetBIOSClient.dll(由系统进程svchost.exe加载),确保每次都能开机自启,启动后会拉起spoolsv.exe,并同时加载dllhostex.exe挖矿程序。
2.spoolsv.exe会对局域网进行445端口扫描,收集可攻击的目标主机,同时启动另一个病毒文件夹NetworkDistribution下的svhost.exe,spoolsv.exe漏洞攻击程序。
3.svhost.exe会对第二步收集到的目标主机执行”永恒之蓝”漏洞利用攻击,成功后spoolsv.exe会给开启安装后门,加载payload.dll(x86.dll/x64.dll)
4.payload.dll(x86.dll/x64.dll)执行后,会将rdpkax.xsl从本地复制到目标主机上,注册ApplicationNetBIOSClient服务,再解密该文件,启动spoolsv.exe执行攻击,同时拉起dllhostex.exe挖矿程序进行挖矿。(每感染一台,都重复步骤1、2、3、4)。
主服务模块会由下面三串字符串随机组成:
1.Windows|Microsoft|Network|Remote|Function|Secure|Application
2.Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP
3.Service|Host|Client|Event|Manager|Helper|System
本文所述病毒文件,释放在下列文件目录中:
32位系统:
C:\Windows\System32\rdpkax.xsl
C:\Windows\System32\dllhostex.exe
C:\Windows\System32\ApplicationNetBIOSClient.dll
64位系统:
C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\dllhostex.exe
C:\Windows\NetworkDistribution
三、WannaMine 4.0 手工处置
1).病毒的发现,在通过态势感知,或其他的安全设备,发现内网主机可能存在感染WannaMine4.0。
2).使用Process Hacker工具查看网络连接情况,发现有一个dllhost.exe进程不断对内网网段进行445端口扫描。
3).转到进程分析,发现dllhost.exe是一个svchost.exe进程的子进程,并且在该“svchost.exe”父进程下还有一个“dllhostex.exe”子进程的CPU占用达到将近80%左右。
4).使用PChunter工具查看进程“svchost.exe”的进程模块,效验所有数字签名,发现其中有一个模块进程有异常,其数字签名还伪装成微软的。该dll模块路径如下:“c:\windows\syswow64\windowsprotocolhost.dll”,可以发现模块名符合WannaMine 4.0主模块的名称字符串随机组合。
5).通过Autonus找到“windowsprotocolhost.dll”文件的服务项。
6).处置步骤:
1.使用Process Hacker先结束“svchost.exe”父进程,再结束掉里面的2个“dllhost.exe”,“dllhostex.exe”子进程。
2.删除windowsprotocolhost服务项。
3.删除“windowsprotocolhost.dll”病毒dll主服务模块。
4.删除“dllhostex.exe“病毒挖矿文件。
5.删除病毒释放的“networkdistribution”文件夹(这里面存放的是“永恒之蓝”漏洞利用模块)。
【注意】:处置完成后,还需再打上MS17-010补丁,防止主机再次被感染上。https://docs.microsoft.com/en-us/security-updates/securitybulletins/2017/ms17-010
7).杀毒总结:
1.网络连接---(Process Hacker)
2.进程 -------(Process Hacker)
3.文件 ------(PChunter)
4.启动项 (服务,计划任务,登录,用户登录,WMI)---(Autonus)
Windwos主机杀毒通过以上几个总结的步骤,大多数病毒应该都可以进行杀毒处置掉。
