X
请选择要咨询的内容
下一代防火墙NGAF/云守 上网行为管理AC/SG SSL VPN/EMM IPSec VPN/MIG 广域网优化WOC 应用交付AD 桌面云aDesk 企业级云aCloud
开始咨询

新闻动态

News

深信服,让IT更简单、更安全、更有价值

全国首例!wmixml新型挖矿病毒预警,已有企业被成功渗透!

/ 2018-04-27

近日,深信服EDR安全团队接到某企业反馈,称其内网大量服务器存在挖矿问题,且难以清理干净。经过深信服安全专家深入分析,发现这是一种新型的挖矿病毒,属全国首例,其病毒机制与常规挖矿相差很大。深信服 EDR 安全团队在持续追踪后发现了病毒入侵途径,深信服已将此病毒命名为wmixml挖矿病毒,同时制定了详细的应对措施。

________________________________________

病毒名称:wmixml

病毒性质:新型挖矿病毒

影响范围:已发现全国首例

危害等级:二级

查杀难度:极难

________________________________________

病毒简介:

不同于常规挖矿病毒, wmixml 的挖矿功能体以密文文件的形式存在而不是常规的独立exe。感染主机上,会有一个加载病毒体dll,在被系统进程svchost.exe加载后,读取挖矿密文文件,在内存中解密后再将挖矿原体注入到另外一个系统进程svchost.exe中。由于解密动作发生在内存中,目前已绕过了大量杀毒引擎。

________________________________________

攻击场景:

此次攻击,可谓有备而来,在绕开杀软的思考上做足了功夫。


如上图,appmg.dll是加载病毒体(system32目录下),负责加载挖矿功能。wvms_dp.inf是挖矿密文数据,即其二进制是经过特殊加密处理的,不能直接被执行。由于密文文件不是pe格式等可执行文件,杀软自然扫描不出来。此外,为了保证免杀效果,又将解密后的挖矿病毒体注入到系统进程中执行。

攻击顺序如下:

1)首先,当appmg.dll第一次被加载的时候,会注册svchost服务,后续则通过系统进程svchost.exe实现开机自启动。



请点击此处输入图片描述

2)其次,appmg.dll被加载后,会读取wvms_dp.inf文件数据,进行解密。






3)然后,将解密后的wvms_dp.inf数据(即挖矿二进制模块)注入到新启动的svchost.exe进程里面。


4)最后,注入成功后的系统进程svchost.exe具备了挖矿功能,从wmixml.dat中读取挖矿配置信息,进行挖矿。


________________________________________

溯源分析:

以上是病毒的运作原理。但病毒从哪里来?深信服EDR安全团队了解获知,该企业有不少于十台的服务器中招,但逆向的结果显示,此挖矿病毒并不具备横向传播能力,因此初步分析是内网某台服务器被渗透(黑客攻击成功后,再利用该服务器进行内网渗透)。

与预想的一致,该企业确实有一台对外的Web服务器,而其它的服务器都处在内网环境。安全团队从此台Web服务器入手,使用深信服EDR WebShell查杀工具进行扫描,发现了大量的网页木马。

此外,分析发现,还存在一个可以远程执行任意命令的木马,由此断定此Web服务器已完全沦陷(安全团队尝试从外网对该站点进行渗透,同样发现可攻击成功)。


被渗透成功后的Web服务器上,安全团队发现了与wmixml挖矿相关的病毒体。由于该Web服务器被完全控制,黑客甚至开了一个具备系统权限的新账号SystemD,由此在内网撕开一个口子,进行任意攻击。


________________________________________

危害与启示:

wmixml挖矿病毒的危害是显而易见的,即长期压榨受害者主机性能,为黑客默默赚外快。此外本次安全团队发现的 wmixml 挖矿病毒在隐蔽性方面做的非常高明。一般的挖矿,通常会尽可能多地压榨受害者CPU,使之长期达到80%以上的占用率。但这个作者却严格限制并稳定在25%的CPU占用率。


在此限制下,由于占用率不是太高,一般用户难以察觉系统已出问题。


另外,黑客深知普通挖矿程序可以被杀毒软件查杀出来。为了避免被杀,黑客对挖矿程序进行了特殊加密,并将解密后的挖矿代码注入到系统进程中(如上图仅仅只在内存中,安全团队才能观察到挖矿字符特征)。通常来说,杀软不敢轻易对系统进程下手,病毒因此有了免死金牌!

解决方案:

1)隔离感染主机:已中毒计算机请尽快隔离,关闭所有网络连接,禁用网卡;

2)确认感染数量:推荐使用深信服防火墙或者安全感知进行全网检测,避免病毒持续潜伏;



注:截图来源于部署深信服防火墙的真实企业环境

本文地址:http://www.wxcrl.com/about/source-news-product-news/1027.html
文章摘要:,够不够皮靴哗世动俗,半双工班师得胜伊斯兰堡。

3)查杀病毒:推荐使用深信服僵尸网络查杀工具(http://www.wxcrl.com/630),深信服僵尸网络查杀工具已第一时间支持查杀此病毒。另外,深信服推荐企业用户部署深信服终端检测响应平台(EDR),对主机进行一键查杀并持续保护主机不再遭受攻击。


4)修补漏洞:如果内网使用了JBoss,请确认好版本并修补相关漏洞。

5)修改密码:如果主机账号密码比较弱,建议重置高强度的密码。

________________________________________

关于深信服智安全:

专注做实用的安全,能够帮助组织更有效地检测并阻止安全威胁,降低IT业务创新过程中的各种风险,为您的网络、数据和业务提供全面保护,让每个组织的安全建设更有效、更简单。



©2000-2017    深信服科技股份有限公司    版权所有     粤ICP备08126214号-5

深信服科技
深信服科技
pk10单吊公式 北京pk10冠亚和值技巧 天天pk10计划软件怎么用 快乐赛车pk10投注平台 pk10计划上竤彩玩
pk109码计划一个月 北京pk10开奖视频结果 北京pk10计划费下载 北京赛车pk10机器人全自动 北京赛车3码技巧
北京赛车pk10热冷好号 北京赛车pk10网络销售 北站赛车pk10开奖记录 pk10改单骗局 北京赛车pk10专家杀号
微信北京赛车pk10赢钱 北京pk10免费手机软件 北京赛车pk10官网cp pk10投注网 pk10数据分析
陕西快乐10分钟在线玩 快中彩开奖号码 幸运农场开奖走势图 北京赛车pk10投注网站 百灵游戏诈金花
彩票走势图 pk10开奖聚彩 北京pk拾软件 破解版 浙江快乐12开奖结果 河南11选5开奖走势图一定牛
北京快3所有号码是多少☆北京快3现场开奖直播☆北京快3经典计划☆北京快3中多少钱 多乐彩任选5中两个号码 pk10开奖直播记录 北京赛车pk10历史下载 吉林快3每日号码表
江西11选5杀号定胆 东方6加1生肖开奖结果查询 金牌国际娱乐城 内蒙古11选5走势图表 甘肃快三