Wmixml新型挖礦病毒預警,已有企業被成功滲透
近日,千里目安全實驗室EDR安全團隊接到某企業反饋,稱其內網大量伺服器存在挖礦問題,且難以清理乾淨。經過深入分析,發現這是一種新型的挖礦病毒,屬全國首例,其病毒機制與常規挖礦相差很大。 EDR 安全團隊在持續追蹤後發現了病毒入侵途徑,已將此病毒命名為wmixml挖礦病毒,同時制定了詳細的應對措施。
病毒簡介病毒名稱:wmixml
病毒性質:新型挖礦病毒
影響範圍:已發現全國首例
查殺難度:極難
不同於常規挖礦病毒, wmixml 的挖礦功能體以密文檔案的形式存在而不是常規的獨立exe。感染主機上,會有一個載入病毒體dll,在被系統程序svchost.exe載入後,讀取挖礦密文檔案,在記憶體中解密後再將挖礦原體注入到另外一個系統程序svchost.exe中。由於解密動作發生在記憶體中,目前已繞過了大量防毒引擎,達到了免殺的目的。
攻擊場景
此次攻擊,可謂有備而來,在繞開防毒軟體的思考上做足了功夫。
如上圖,appmg.dll是載入病毒體(system32目錄下),負責載入挖礦功能。wvms_dp.inf是挖礦密文資料,即其二進位制是經過特殊加密處理的,不能直接被執行。由於密文檔案不是pe格式等可執行檔案,殺軟自然掃描不出來。此外,為了保證免殺效果,又將解密後的挖礦病毒體注入到系統程序中執行。
攻擊順序如下:
1) 首先,當appmg.dll第一次被載入的時候,會註冊svchost服務,後續則通過系統程序svchost.exe實現開機自啟動。
2) 其次,appmg.dll被載入後,會讀取wvms_dp.inf檔案資料,進行解密。
3) 然後,將解密後的wvms_dp.inf資料(即挖礦二進位制模組)注入到新啟動的svchost.exe程序裡面。
4) 最後,注入成功後的系統程序svchost.exe具備了挖礦功能,從wmixml.dat中讀取挖礦配置資訊,進行挖礦。
溯源分析
以上是病毒的運作原理。但病毒從哪裡來?EDR安全團隊瞭解獲知,該企業有不少於十臺的伺服器中招,但我們逆向的結果顯示,此挖礦病毒並不具備橫向傳播能力,因此初步分析是內網某臺伺服器被滲透(黑客攻擊成功後,再利用該伺服器進行內網滲透)。
與預想的一致,該企業確實有一臺對外的Web伺服器,而其它的伺服器都處在內網環境。安全團隊從此臺Web伺服器入手,使用EDR WebShell查殺工具進行掃描,發現了大量的網頁木馬。
此外,分析發現,還存在一個可以遠端執行任意命令的木馬,由此斷定此Web伺服器已完全淪陷(安全團隊嘗試從外網對該站點進行滲透,同樣發現可攻擊成功)。
被滲透成功後的Web伺服器上,安全團隊發現了與wmixml挖礦相關的病毒體。由於該Web伺服器被完全控制,黑客甚至開了一個具備系統許可權的新賬號SystemD,由此在內網撕開一個口子,進行任意攻擊。
危害與啟示
wmixml挖礦病毒的危害是顯而易見的,即長期壓榨受害者主機效能,為黑客默默賺外快。此外本次安全團隊發現wmixml挖礦病毒在隱蔽性方面做的非常高明。一般的挖礦,通常會盡可能多的壓榨受害者CPU,使之長期達到80%以上的佔用率。但這個作者,卻嚴格限制並穩定在25%的CPU佔用率。
在此限制下,由於佔用率不是太高,一般使用者難以察覺系統已出問題。
另外,黑客深知普通挖礦程式可以被防毒軟體查殺出來。為了避免被殺,黑客對挖礦程式進行了特殊加密,並將解密後的挖礦程式碼注入到系統程序中(如上圖僅僅只在記憶體中,安全團隊才能觀察到挖礦字元特徵)。通常來說,殺軟不敢輕易對系統程序下手,病毒因此有了免死金牌!
解決方案:
1、隔離感染主機:已中毒計算機請儘快隔離,關閉所有網路連線,禁用網絡卡!
2、確認感染數量:推薦使用防火牆或者安全感知進行全網檢測,避免病毒持續潛伏!
3、查殺病毒:推薦使用僵屍網路查殺工具
4、修補漏洞:如果內網使用了JBoss,請確認好版本並修補相關漏洞。
5、修改密碼:如果主機賬號密碼比較弱,建議重置高強度的密碼。
* 本文作者千里目安全實驗室,轉載註明來自FreeBuf