六小时处置挖矿蠕虫的内网大规模感染事件
作者:安天
初稿完成时间:2019年9月24日
本版更新时间:2019年9月25日
2019年5月,安天接到某重要单位的求助,其内网中执行任务的上百台主机频繁出现死机、重启、蓝屏等现象,用户部署使用的某款杀毒软件能查出病毒告警,但显示成功清除后,病毒很快会重新出现。用户尝试采用其他工具进行处理,未能解决问题,遂向安天寻求帮助。在电话远程协助用户处置的同时,安天派出由安全服务工程师、智甲终端防御系统产品支持工程师组成的应急服务小组,携智甲终端防御系统安装盘、便携式探海威胁检测系统、拓痕应急处置工具箱,及最新病毒库、补丁包等配套资源,于接到求助当日傍晚飞抵用户现场进行处置,快速解决了问题。
1 现场信息采集观测和研判
安天工程师到达现场后,快速与用户进行了交流研判,共同确定了基于部署探海进行流量侧的监测分析、通过拓痕进行端点的信息采集和证据固化,制定合理安全配置加固策略,全面安装智甲终端防御系统,实现所有终端安全策略加固、统一补丁安装和全网查杀的处置流程。
安天应急服务小组在协助用户配置交换机镜像设置后,通过探海发现了大量内网扫描和基于永恒之蓝漏洞的攻击流量,以及匹配到威胁情报规则标记为矿池的域名连接请求,又通过拓痕应急处置工具对感染主机进行了扫描、对可疑文件与关联信息进行提取,结合用户已采集安全日志和其他工具,协助用户完成了证据固化。安天工程师初步判定出,这是一起WannaMine挖矿蠕虫,通过永恒之蓝漏洞,反复传播感染事件。安天应急服务小组根据预案,在严格执行用户“样本文件不离场”的要求下,前后台快速协同联动,在征得用户同意后,仅将扫描发现的病毒名称、样本HASH等信息通报给安天应急响应中心(以下简称安天CERT),进行分析支持和研判验证。安天CERT从支撑平台提取相同HASH的样本,结合已有分析验证,在事件机理成因方面,与进场服务小组作出完全一致的判断:由于用户侧部署的原有杀毒软件无法有效支持补丁升级、且没有主机策略配置加固,导致病毒被清除后,会继续通过漏洞重新打入,致使感染源始终存在,其中部分用户终端在被永恒之蓝漏洞攻击中会蓝屏。对此,应急服务小组基于全网终端安装智甲和统一扫描,并部署智甲软件管理中心,全面提取了相关信息,分析确认了病毒最早的出现日期,为用户定位该批设备的最初感染源提供了信息支撑。
2 制定加固策略、分发安全补丁、查杀终端威胁
该蠕虫的传播机理为:迅速利用EternalBlue(“永恒之蓝”)漏洞在局域网内传播自身,形成更加庞大的挖矿网络。该漏洞使用445端口传播,对应补丁为MS17-010。如果主机没有安装相应补丁或关闭相关端口,则无法阻挡该病毒在内网中的渗透传播。根据智甲检测日志,出现病毒感染、蓝屏等故障的主机均未安装MS17-010补丁。
安天应急服务小组调研了用户现有业务系统所采用的通讯端口、协议等情况,对用户将端点做了初步分组,对默认安全策略模板(参考STIG标准)进行了部分定制调整。
之后借助管理中心启动了补丁统一分发、策略调整和统一查杀。经安天工程师连夜不间断奋战,在到场六小时后将一百多台染毒主机、全部完成了对应补丁升级、安全策略加固和病毒查杀工作。
3 深度分析支持和支持归零复盘
后端分析团队基于样本HASH进行了深度分析并于第一时间为用户提供了WannaMine挖矿病毒样本的详细分析报告。(详见附录一)
在现场病毒情况得到控制的同时,该单位相关负责人希望安天能够在其实验环境中复现该病毒的攻击过程。安天工程师根据事发现场的情况搭建了模拟环境,根据处置前固化的感染系统端点镜像,模拟现场情况并恢复了相关环境,提供了探海检测系统生成监测日志、并进行录包,指导用户通过Wireshark对数据包进行解析观察,在实验环境中复现了整体攻击过程和具体故障表现,为用户后续对事件进行归零复盘提供了依据。
安天应急服务小组协助用户完成最终判定,这是一起由第三方设备带毒入网导致的安全事件,昭示出供应链安全侧的安全风险。
4 用户评价
本次应急事件处理完成后,安天受邀参加了该单位针对此事件的归零报告评审会议,用户对本次安全事件十分重视,单位领导对安天的应急响应处置能力、技术支持水平及智甲等产品的查杀和防御能力给予了高度评价,同时提出了和安天建立长期的安全服务关系,并采购了探海和智甲产品。
5 应急处置方案及后续安全建议
5.1 应急处置方案
安天安全服务中心提示,通过安天智甲终端防御系统可以实现内网端点系统统一补丁升级、安全加固策略配置和病毒统一查杀。
在没有安天智甲部署的情况下,遇到蠕虫反复感染对应问题的用户建议采取以下缓解措施:
1) 对局域网内的所有主机采取断网操作。
2) 根据受感染终端的操作系统版本和相关病毒所使用功能的漏洞信息,安装对应的安全补丁
3) 在不影响用户业务的前提下封堵445常见等传播端口,通过杀毒工具进行查杀。
4) 逐步恢复网络并通过抓包工具确认网内是否存在恶意流量,并对全网终端安全状态进行确认。
5.2 后续安全建议
本次事件主要是由于第三方厂家提供的设备带毒入网后引起的病毒内网传播感染事故,是一起典型的由供应链引起的病毒感染传播事件,我们对用户提出了后续安全建议:
1. 技术方面
1) 所有第三方提供的设备在入网前需进行严格的上线检测,至少应采取安全配置检查、恶意代码检测排查、漏洞修复以及配置加固等手段,对入网设备的安全合规性进行严格审查。
2) 设备上承载的操作系统、数据库、中间件及应用等应通过官方渠道或经认证的安全下载渠道获取,避免通过非官方渠道获取引入潜在的安全风险。
3) 针对已上线设备的应用软件、数据及系统的安装与更新,应建立内部统一部署平台,统一补丁源,实现验证留存,应通过带有恶意代码检测和安全验证机制的辅助检测系统的摆渡中间机进行数据交换。
4) 设备最终交付上线前,应使用病毒防护软件对其进行全面病毒检查,必要时需要安全专家协助,确保当前设备的安全状态后方可上线。
5) 因设备上线后的运转状态相对稳定,很少进行更新和修改,应配置白名单防御策略,为系统建立参考STIG标准的配置策略,保证系统上线后的运行安全。
6) 建议依托专业的安全服务团队提升安全事件的应急响应能力。一旦出现安全问题,能够在第一时间采取正确措施,为专业团队现场处置提供初步的威胁排查方法及处置建议。
2. 管理方面
1) 开展内部与外部供应链审查工作,政企机构不仅需审查自身内部的基础架构,还应对供应商及合作伙伴进行审查。虽然内部系统可能具有一系列安全措施用以阻止各种网络攻击,但第三方合作伙伴可能在此阶段缺少有效的防御手段。因此,需要对软硬件供应商开展彻底审查工作,只有通过审查后才能将其提供的软硬件、系统等集成至内部基础架构中。
2) 在条件允许的情况下,用户应要求供应商遵循最小暴露面的原则,制定相关流程、标准和法务协议,对用户作出入网设备的明确的安全规格需求。协议应要求供应商及时通告任何内部安全事件以及定期进行安全报告,以确保其安全状态,并培养供应商开发人员安全意识,同时通过可信的正规渠道发布软件产品,通过数字签名认证机制使软件遭到外部篡改、病毒感染等攻击等情况易于被发现。
3) 定期对用户内部员工及第三方供应商开展安全培训工作,分享供应链安全最佳实践。
3. 安全产品和工具使用方面
1) 安天资产安全运维平台与智甲终端防御系统组合部署使用,可以实现统一内网端点资产管理、统一内网补丁分发升级、支持安全等级分组的模板化安全策略加固。
2) 安天智甲通过安天下一代威胁检测引擎可以精准检测海量病毒,对Rootkit、感染式病毒、扫描蠕虫、宏病毒等困扰内网用户的事件有良好的处理效果。同时借助主防机制和分布式主机防火墙,能有效拦截针对端点的各种攻击。
3) 基于安天探海威胁检测系统部署,可以通过安天下一代威胁检测引擎精准检测恶意代码传播,可以及时发现内网扫描、横向移动等攻击动作。
4) 安天追影安全分析系统可以增加安全分析的深度,发现漏洞利用,呈现威胁行为,并生产可利用威胁情报。
5) 安天拓痕处置工具可以针对主机系统进行定期安全检查、应急检查、证据固化和风险文件提取,进行主机侧的深度分析处置。
对规模化的高价值信息资产防护,仅仅依靠产品组合使用无法保证安全,应以叠加演进模型,进行能力导向的安全规划建设,依次做好基础结构安全、纵深防御、态势感知与积极防御、威胁情报等安全工作,建设动态综合安全防御体系。
附录一:WannaMine蠕虫样本分析报告
安天CERT分析小组,根据应急服务小组所提供的样本HASH值,通过安天“赛博超脑”分析平台提取了样本进行分析。通过对病毒样本进行逆向分析发现,其属于WannaMine挖矿病毒的变种版本。WannaMine是一款旨在挖掘Monera加密货币的蠕虫病毒。WannaMine变种会最大限度的利用CPU来挖掘Monera加密货币,使应用程序以及系统崩溃。当用户感染WannaMine变种之后,WannaMine变种会迅速利用EternalBlue(“永恒之蓝”)漏洞在局域网内传播自身,形成更加庞大的挖矿网络。
原文件名 |
spoolsv.exe |
病毒名称 |
Trojan/Win32.TSGeneric |
MD5 |
97911A1DA380F874393CF15982C6B1B9 |
处理器架构 |
Intel 386 or later processors and compatible processors |
文件大小 |
494 KB |
文件格式 |
Win32 EXE |
时间戳 |
2018-05-03 11:09:29 |
VT首次上传时间 |
2018-05-04 |
VT检测结果 |
48/67 |
表1样本标签
一、 样本传播方式
图 1 样本传播方式
样本中spoolsv.exe(以下称为spoolsv.exe_A)对EnrollCertXaml.dll进行解密,得到wmassrv.dll。wmassrv.dll是主服务,会在C:\Windows\SpeechsTracing\Microsoft\目录下生成NSA漏洞利用工具,在C:\Windows\System32\目录下生成HalPluginsServices.dll。wmassrv服务启动后会调用HalPluginsServices.dll,HalPluginsServices.dll会启动spoolsv.exe_A。spoolsv.exe_A会对局域网进行445端口扫描,确定可攻击的内网主机,然后启动挖矿程序以及漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件,以下称为spoolsv.exe_B);svchost.exe执行“永恒之蓝”漏洞对可攻击的内网主机进行漏洞溢出攻击,成功后spoolsv.exe_B(NSA黑客工具包DoublePulsar后门)在攻击成功的主机上安装后门,加载payload(x86.dll/x64.dll);payload执行后,负责将EnrollCertXaml.dll从本地复制到受害主机,再解密该文件,注册wmassrv.dll为服务,启动spoolsv.exe_A执行攻击。
二、 样本的危害范围与危害程度
1. 样本危害范围
本次任务获取的样本利用了“永恒之蓝”漏洞,该漏洞利用的操作系统平台为windows,从该样本释放的载荷分析发现了针对32位和64位不同操作系统的执行程序(X86.dll以及X64.dll),同时对样本代码进行逆向分析发现,该样本只会在局域网的同一网段上传播,不会跨网段扩散。(注:“永恒之蓝”是美国国家安全局开发的漏洞利用程序,是方程式组织在其漏洞利用框架中的一个针对SMB服务进行攻击的模块。“永恒之蓝”利用了MS17-010漏洞,该漏洞可以让攻击者在目标系统上执行任意代码。2017年5月份爆发的WannaCry蠕虫病毒便是利用“永恒之蓝”进行传播的。)
spoolsv.exe_A运行后会对C:\Windows\System32\EnrollCertXaml.dll进行解密操作,解密后的文件wmassrv.dll会生成NSA漏洞利用工具集和HalPluginsServices.dll。
图 2 漏洞攻击工具集
spoolsv.exe_A会将wmassrv.dll注册为服务。该服务由svchost.exe启动,启动后wmassrv.dll会注入到svchost.exe进程中。
图 3将wmassrv.dll注册为服务
图 4 服务wmassrv
spoolsv.exe_A会获取主机IP,扫描主机所在的内网网段(%d.%d.%d.*),判断内网中是否有主机开启了445端口。如果发现局域网内有主机开启了445端口,就将相应的IP地址和端口号写入到“永恒之蓝”攻击程序svchost.exe的配置文件svchost.xml中。然后spoolsv.exe_A启动svchost.exe(“永恒之蓝”攻击程序)对局域网内的主机进行攻击,同时将行为特征记录到stage1.txt。
图 5 扫描局域网内主机
“永恒之蓝”漏洞利用程序攻击结束之后,spoolsv.exe_A会修改DoublePulsar后门程序spoolsv.exe_B的配置文件spoolsv.xml,然后启动spoolsv.exe_B(NSA黑客工具包DoublePulsar)安装后门程序,同时将行为特征记录到stage2.txt。
wmassrv.dll生成的NSA漏洞利用工具集中包含payload文件x86.dll和x64.dll,spoolsv.exe_B会根据受害主机的操作系统执行不同的payload。payload执行后,会将EnrollCertXaml.dll复制到受害主机,然后将wmassrv.dll安装为服务。服务安装后,可以启动spoolsv.exe_A,进行新一轮的漏洞利用与payload加载。
图 6 将攻击记录到stage2.txt
2. 样本危害程度
WannaMine变种沿用WannaMine的传播方式,利用了MS17-010漏洞的便利,使用“永恒之蓝”漏洞利用程序在局域网中迅速传播,导致局域网中的主机都在挖矿。WannaMine变种的矿池站点仍然指向nicehash.com、minergate.com。
相关样本攻击载荷落地后会即时发起攻击,没有潜伏期。在实验环境复现的过程中,被攻击主机的现象也是即时发生的,继而验证了病毒的即时发作特性。同时,局域网主机感染了该挖矿病毒后会相互进行永恒之蓝漏洞攻击,漏洞利用过程中使用了堆喷射技术,因此一定概率会导致漏洞利用失败导致被攻击主机蓝屏重启等现象。