记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

挖矿病毒WannaMine的简单分析处理

2020-06-04 11:52

基于某天在公司打开虚拟机,下载了一个cms准备源码审计。
火绒居然报毒了,突发其然

该系统为win7,防火墙关闭,桥接模式(一般不启动 外网访问不了),139、445端口未关闭。

火绒是最近才安装了 访问该地址发现是个域名厂商还是啥

百度搜一波

确定为WannaMine挖矿地址

发现可疑进程

根据火绒日志
svhost.exe 异常调用cmd
svhost.exe 执行-k NetworkService 开启某个服务网卡?

找到病毒运行传播模块为:spoolsv.exe
病毒运行模块为:svchost.exe

目前确认是因445端口被永恒之蓝漏洞所攻击
找到spoolsv和svchost的配置文件

发现相应的IP地址和端口号被写入到EternalBlue攻击程序svchost.exe的配置文件svchost.xml中

然后通过CreateProcessA函数启动svchost.exe(永恒之蓝攻击程序)进行局域网主机的攻击,同时将这个行为特征记录到stage1.txt。

永恒之蓝攻击完成之后,会修改DoublePulsar后门程序spoolsv.exe的配置文件spoolsv.xml

日志文件被kill

总结:因为最近安装了火绒大部分进程和服务没有被成功启动,近期的日志啥的都没查到。
为毛我虚拟机会搞、有可能是局域网内已有机子早已被种下该病毒、以至于通过爆破我的虚拟机从而入侵。

解决方案
1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。
2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。
3、查找攻击源:手工抓包分析或借助态势感知类产品分析。
4、查杀病毒:推荐使用EDR工具进行查杀。
5、修补漏洞:打上“永恒之蓝”漏洞补丁,请到微软官网,下载对应的漏洞补丁(https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)


知识来源: xz.aliyun.com/t/7834

阅读:33731 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“挖矿病毒WannaMine的简单分析处理”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云

本页关键词