News新聞中心
政策法規 熱點信息 公司新聞 活動預告

多款病毒變種利用永恒之藍再次席卷而來!

TIME:2019-03-19 ? click: 55 次
近期,多款熱門病毒變種正在利用永恒之藍漏洞進行蔓延,威脅程度達到高危,影響范圍廣泛。深信服緊急預警,提醒廣大用戶做好安全防護措施!
 
病毒分析
近期出現的利用永恒之藍漏洞的多款病毒包括:Satan勒索病毒變種、WannaMine挖礦變種、PowershellMiner無文件挖礦變種以及WannaCry勒索2.0藍屏變種。
 
01Satan勒索變種
用戶一旦遭受Satan勒索變種攻擊,重要文檔和數據庫文件均可能被加密,并被勒索0.3個比特幣。Satan勒索變種攻擊過程如下:
 
其中:
1.st.exe是母體,執行后會下載ms.exe和Client.exe。
2.ms.exe是一個自解壓文件,包含的blue.exe和star.exe執行永恒之藍漏洞攻擊。
3.一旦攻擊成功后,star.exe加載payload(down64.dll),負責下載并運行st.exe。
4.Client.exe是Satan勒索病毒,執行文件加密操作,并彈出勒索信息。
5.每感染一臺后,都會重復執行1、2、3、4步驟,在局域網進行擴散。
 
02WannaMine挖礦變種
WannaMine挖礦變種會造成用戶服務器和PC異常卡頓,消耗主機大量CPU資源。其攻擊過程如下:
1.srv是主服務,每次都會進行開機啟動,啟動后加載spoolsv。
2.spoolsv對局域網進行445端口掃描,確定可攻擊的內網主機。同時啟動挖礦程序hash、漏洞攻擊程序svchost.exe和spoolsv.exe。
3.svchost.exe執行永恒之藍漏洞溢出攻擊(目的IP由步驟2確認),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后門)安裝后門,加載payload(x86.dll/x64.dll)。
4.payload(x86.dll/x64.dll)執行后,負責將MsraReportDataCache32.tlb從本地復制到目的IP主機,再解壓該文件,注冊srv主服務,啟動spoolsv執行攻擊。
5.每感染一臺,都重復步驟1、2、3、4,在內網擴散。
 
03PowershellMiner無文件挖礦變種
PowershellMiner挖礦變種沒有本地惡意文件,用戶難以發覺,往往能夠消耗主機90.0%以上CPU資源,造成主機性能異常卡頓。其攻擊順序如下:
1.首先,挖礦模塊啟動,持續進行挖礦。
2.其次,Minikatz模塊對目的主機進行SMB爆破,獲取NTLMv2數據。
3.然后,WMIExec使用NTLMv2繞過哈希認證,進行遠程執行操作,成功則執行shellcode使病原體再復制一份到目的主機并使之運行起來,流程結束。
4.如果WMIExec攻擊失敗,則嘗試使用MS17-010永恒之藍漏洞攻擊,成功則執行shellcode使病原體再復制一份到目的主機并使之運行起來。
5.每感染一臺主機,都重復步驟1、2、3、4,在內網進行擴散。
 
04WannaCry勒索2.0藍屏變種
該勒索變種并不會勒索成功,但由于漏洞利用不當,常常導致主機藍屏崩潰。在服務器場景下,對企業業務影響極大。
此變種是WannaCry的2.0版本,2018年仍然十分活躍。之前的版本會釋放勒索程序對主機進行勒索,但此變種的勒索程序在主流Windows平臺下運行失敗,無法進行勒索操作。但如果內網中多個主機感染了該病毒,病毒會互相之間進行永恒之藍漏洞攻擊,該漏洞的利用使用堆噴射技術,該技術漏洞利用并不穩定,有小概率出現漏洞利用失敗,在利用失敗的情況下,會出現被攻擊主機藍屏的現象。
 
深信服應對建議
針對廣大用戶,建議進行日常防范措施:
1.不要點擊來源不明的郵件附件,不從不明網站下載軟件;
2.及時給主機打上永恒之藍漏洞補丁,修復此漏洞;
3.對重要的數據文件定期進行非本地備份;
4.盡量關閉不必要的文件共享權限以及關閉不必要的端口,如:445,135,139,3389等。
 
針對使用深信服產品的用戶,深信服緊急響應,快速為用戶提供解決方案:
 
1.深信服下一代防火墻已支持阻斷針對永恒之藍漏洞的各種熱門攻擊。下一代防火墻用戶升級僵尸網絡識別庫到20180407及以上版本,升級病毒庫到20180406及以上版本即可。
 
2.深信服安全感知產品的用戶,可直接探測永恒之藍漏洞攻擊的移動情況和內網安全狀況。
 

3.深信服終端檢測響應平臺(EDR)提供端點防護和病毒清理功能,EDR的用戶可以直接有效地清除相關病毒。

4.使用深信服立體防護解決方案的用戶無需擔心,通過深信服下一代防火墻+安全感知+EDR,三者相互聯動響應,實現邊界到終端的完整防護、檢測和響應,有效應對永恒之藍漏洞攻擊。
山西麻将牌九玩法
双色球复式中奖规则表 云南快乐十分走势图基本走势图云 内蒙古时时五码走势怎么看 三肖公式 内蒙古快三走势图开奖 秒速时时走势图软件 重庆特训营 云南体育彩票快乐123 云南时时娱乐平台 今日双色球开奖结果 下载河南快三 两码中特期期 北京快三跨度和值尾号 快速时时是官方吗 四肖三期內必出一期中2017 福建福彩快3数据专家