• 新闻中心

      新闻中心  >  多款病毒变种利用永恒之蓝再次席卷而来!!!
      多款病毒变种利用永恒之蓝再次席卷而来!!!
      背景图 2021-07-29 00:00:00

      近期,,,,多款热门病毒变种正在利用永恒之蓝漏洞进行蔓延,,威胁程度达到高危,,影响范围广泛。。。。岳阳千联紧急预警,,提醒广大用户做好安全防护措施!!!!

      病毒分析

          近期出现的利用永恒之蓝漏洞的多款病毒包括:Satan勒索病毒变种、、、WannaMine挖矿变种、、、PowershellMiner无文件挖矿变种以及WannaCry勒索2.0蓝屏变种。。。。

      Satan勒索变种

          用户一旦遭受Satan勒索变种攻击,,,重要文档和数据库文件均可能被加密,,并被勒索0.3个比特币。。。Satan勒索变种攻击过程如下:

      其中:

      • st.exe是母体,,执行后会下载ms.exe和Client.exe。。
      • ms.exe是一个自解压文件,,,,包含的blue.exe和star.exe执行永恒之蓝漏洞攻击。。
      • 一旦攻击成功后,,star.exe加载payload(down64.dll),,,负责下载并运行st.exe。。。。
      • Client.exe是Satan勒索病毒,,,,执行文件加密操作,,,并弹出勒索信息。。。
      • 每感染一台后,,都会重复执行1、、、、2、、3、、、、4步骤,,,,在局域网进行扩散。。。。

      WannaMine挖矿变种

      WannaMine挖矿变种会造成用户服务器和PC异常卡顿,,,消耗主机大量CPU资源。。其攻击过程如下:

      • srv是主服务,,,每次都会进行开机启动,,启动后加载spoolsv。。。
      • WannaMine挖矿变种2.spoolsv对局域网进行445端口扫描,,,,确定可攻击的内网主机。。同时启动挖矿程序hash、、、、漏洞攻击程序svchost.exe和spoolsv.exe。。
      • svchost.exe执行永恒之蓝漏洞溢出攻击(目的IP由步骤2确认),,,,成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,,加载payload(x86.dll/x64.dll)。。。
      • payload(x86.dll/x64.dll)执行后,,,负责将MsraReportDataCache32.tlb从本地复制到目的IP主机,,再解压该文件,,,注册srv主服务,,,启动spoolsv执行攻击。。。。
      • 每感染一台,,,都重复步骤1、、、2、、、3、、4,,,在内网扩散。。。。

      PowershellMiner无文件挖矿变种

      PowershellMiner挖矿变种没有本地恶意文件,,,,用户难以发觉,,,往往能够消耗主机90.0%以上CPU资源,,,,造成主机性能异常卡顿。。其攻击顺序如下:

      • 首先,,,挖矿模块启动,,,,持续进行挖矿。。。。
      • 其次,,,,Minikatz模块对目的主机进行SMB爆破,,,获取NTLMv2数据。。。
      • 然后,,WMIExec使用NTLMv2绕过哈希认证,,,,进行远程执行操作,,成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来,,流程结束。。。。
      • 最后,,如果WMIExec攻击失败,,则尝试使用MS17-010永恒之蓝漏洞攻击,,成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来。。。
      • 每感染一台主机,,,都重复步骤1、、2、、3、、、、4,,在内网进行扩散。。。。

      WannaCry勒索2.0蓝屏变种

      该勒索变种并不会勒索成功,,,但由于漏洞利用不当,,,常常导致主机蓝屏崩溃。。在服务器场景下,,对企业业务影响极大。。。

      此变种是WannaCry的2.0版本,,2018年仍然十分活跃。。。之前的版本会释放勒索程序对主机进行勒索,,但此变种的勒索程序在主流Windows平台下运行失败,,无法进行勒索操作。。。。但如果内网中多个主机感染了该病毒,,,,病毒会互相之间进行永恒之蓝漏洞攻击,,,,该漏洞的利用使用堆喷射技术,,,该技术漏洞利用并不稳定,,,有小概率出现漏洞利用失败,,在利用失败的情况下,,,,会出现被攻击主机蓝屏的现象。。。

      岳阳千联应对建议

      针对广大用户,,建议进行日常防范措施:

      • 不要点击来源不明的邮件附件,,,,不从不明网站下载软件;
      • 及时给主机打上永恒之蓝漏洞补丁,,,,修复此漏洞;
      • 对重要的数据文件定期进行非本地备份;
      • 尽量关闭不必要的文件共享权限以及关闭不必要的端口,,,,如:445,135,139,3389等。。

      针对使用岳阳千联产品的用户,,,,岳阳千联紧急响应,,,,及时为用户提供解决方案:

      • 岳阳千联下一代防火墙已支持阻断针对永恒之蓝漏洞的各种热门攻击。。。。下一代防火墙用户升级僵尸网络识别库到20180407及以上版本,,,升级病毒库到20180406及以上版本即可。。。。
      • 岳阳千联安全感知产品的用户,,可直接探测永恒之蓝漏洞攻击的移动情况和内网安全状况。。

      • 岳阳千联终端检测响应平台(EDR)提供端点防护和病毒清理功能,,EDR的用户可以直接有效地清除相关病毒。。。。

      • 使用岳阳千联立体防护解决方案的用户无需担心,,,通过岳阳千联下一代防火墙+安全感知+EDR,,,,三者相互联动响应,,,,实现边界到终端的完整防护、、、检测和响应,,,有效应对永恒之蓝漏洞攻击。。
      站点地图