“永恒之石”探礦病毒爆發，速處理

發布人：admin

“永恒之石”探礦病毒爆發，速處理

 

近一段時間，我公司安全團隊持續收到大量政府、醫療、企業等用戶反饋，其內網很多主機存在藍屏和卡頓現象。經過我們跟蹤分析，發現這是利用“永恒之藍”和“永恒之石”漏洞的新玩法，其最終目的不再是勒索，而是長期潛伏挖礦，默默賺外快。 

此病毒變種，傳播機制與永恒之藍勒索病毒一致（可在局域網內，通過SMB快速橫向擴散）。

 

一、攻擊場景

此次攻擊，是經過精心設計的，涉及的病毒模塊多，感染面廣，關系復雜。

 

如上圖，壓縮包MsraReportDataCache32.tlb含有所需要的所有攻擊組件，其目錄下有hash、spoolsv、srv等病毒文件，此外，子壓縮包crypt有“永恒之藍”漏洞攻擊工具集（svchost.exe、spoolsv.exe、x86.dll、x64.dll等）。

其中

hash/hash64：為32位/64位挖礦程序，會被重命名為TrueServiceHost.exe。

spoolsv/spoolsv64：為32位/64位攻擊母體，會被重命名為spoolsv.exe。

srv/srv64：為32位/64位為主服務，攻擊入口點，會被重命名為tpmagentservice.dll。

本文所述病毒文件，釋放在下列文件目錄中

C:\Windows\System32\MsraReportDataCache32.tlb

C:\Windows\SecureBootThemes\

C:\Windows\SecureBootThemes\Microsoft\

C:\Windows\SecureBootThemes\Crypt\

攻擊順序：

1.srv是主服務，每次都能開機啟動，啟動后加載spoolsv。

2.spoolsv對局域網進行445端口掃描，確定可攻擊的內網主機。同時啟動挖礦程序hash、漏洞攻擊程序svchost.exe和spoolsv.exe。

3.svchost.exe執行“永恒之藍”漏洞溢出攻擊（目的IP由第2步確認），成功后spoolsv.exe(NSA黑客工具包DoublePulsar后門）安裝后門，加載payload（x86.dll、x64.dll）。

4.payload（x86.dll、x64.dll）執行后，負責將MsraReportDataCache32.tlb從本地復制到目的IP主機，再解壓該文件，注冊srv主服務，啟動spoolsv執行攻擊（每感染一臺，都重復步驟1、2、3、4）。

 

二、病毒自更新

此次攻擊，病毒本身做了很健壯的自更新機制，包括外網更新和局域網更新兩個方面。病毒自更新主要是獲取新的壓縮包MsraReportDataCache32.tlb。

如上圖，只要局域網內有一臺感染主機可以上網，則該主機可以從公網上下載到最新的MsraReportDataCache32.tlb，并解壓自更新（外網更新）。

然后，該主機可以創建微型Web服務端，供內網其它無法上網的主機下載更新（局域網更新）。

這樣的一個更新機制，保障了全網都能及時更新到最新的病毒變種，且在主服務沒有被刪除的情況下，即使其它病毒文件被刪除，很快又可以重新下載生成！極大保障了此僵尸網絡的健壯性。

如上圖，我們追蹤到的外網下載鏈接為：

hxxp://acs.njaavfxcgk3.club:4431/f79e53

hxxp://rer.njaavfxcgk3.club:4433/a4c80e

hxxp://rer.njaavfxcgk3.club:4433/5b8c1d

hxxp://rer.njaavfxcgk3.club:4433/d0a01e

主控模塊每次執行，會刪除主機已存在的病毒模塊文件，并結束相應的進程。然后，執行更新模塊，使用ServiceCrtMain函數進行下載更新操作。

創建Web服務端，局域網內的其他計算機主控模塊可以通過WebServer下載相應的壓縮包。

 

 

三、漏洞利用

主控程序spoolsv/spoolsv會被重命名為spoolsv.exe,其運行后會獲得自身主機HOST，然后對局域網內的主機進行掃描。通過獲得的IP表，掃描局域網內開放的445端口號，掃描的行為特征如下。

如果發現局域網內開放的445端口，就會將相應的IP地址和端口號寫入到EternalBlue攻擊程序svchost.exe的配置文件svchost.xml中，如下圖。

然后通過CreateProcessA函數啟動svchost.exe（永恒之藍攻擊程序）進行局域網主機的攻擊，同時將這個行為特征記錄到stage1.txt。

永恒之藍攻擊完成之后，會修改DoublePulsar后門程序spoolsv.exe的配置文件spoolsv.xml，如下圖。

然后，通過CreateProcessA函數啟動spoolsv.exe(NSA黑客工具包DoublePulsar后門）安裝后門程序，同時將這個行為特征記錄在stage2.txt。

上述配合完成后，會執行Payload，解壓MsraReportDataCache32.tlb，從中提取srv到系統目錄下，并命名為tpmagentservice.dll。然后，將tpmagentservice.dll安裝為服務。

srv服務安裝后，可以啟動spoolsv，進行一輪新的漏洞利用與Payload加載。

 

四、集體挖礦

此次攻擊的手法，多數是沿用WannaCry的套路，所不同的是，這次攻擊的目的不是勒索，是挖礦，而且是瞄準了大規模的集體挖礦。何解？之前的挖礦都是相對獨立的事件，單獨的一臺感染主機在挖，這次挖礦利用了“永恒之藍”漏洞的便利，迅速使之在局域網內迅猛傳播，最終導致局域網內的主機都在挖礦！

我們從壓縮包中解壓出挖礦程序hash/hash64。逆向分析后，發現其會被復制到system32系統目錄下，重命名為TrueServiceHost.exe，并進行挖礦操作，挖礦的礦池錢包地址，分別從nicehash.com、minergate.com兩個挖礦網站進行注冊，如下圖。

 

五、解決方案

1、隔離感染主機：已中毒計算機盡快隔離，關閉所有網絡連接，禁用網卡。

2、切斷傳播途徑：關閉潛在終端的SMB 445等網絡共享端口，關閉異常的外聯訪問。

3、查找攻擊源：手工抓包分析或借助態勢感知類產品分析。

4、查殺病毒：推薦使用亞信、360、瑞星等殺毒軟件進行查殺。

5、修補漏洞：打上“永恒之石”漏洞補丁，請到微軟官網，下載對應的漏洞補丁。