srv.sys藍屏?高危預警——您的系統存在重大安全漏洞
最近我測試機器經常執行一會就出現藍屏,系統自動重啟,藍屏時螢幕顯示的資訊與下圖相似,即提示srv.sys系統檔案遇到問題:
很是奇怪,我的測試機器才裝的系統沒過多久,這麼快就感染病毒了?公司的區域網可能有病毒源,導致我電腦也感染了。後來百度得知,出現srv.sys藍屏,可能是中了勒索軟體變種病毒了,是因為勒索軟體變種病毒在區域網中傳播導致的。在網上搜到了下面的部落格文章,頓時對文章作者產生了無限崇拜之情,於是將原文轉載了一把。其實轉載文章還有兩個額外的原因:
1、文中截圖顯示作者在分析問題的過程中使用了Process Explorer和Windbg工具,這也是我們windows開發人員常用的;
2、這是第一次在系統中毒後通過安裝微軟官方的漏洞補丁包解決問題的。
之前在其他電腦上能正常執行的程式,拿到測試機器上跑,跑一會就報錯,提示程式遇到問題,程式被終止執行。最開始一度以為是我們寫的程式有問題,後來才知道可能與這個問題有關係。
---------------------------------------------------------------------------------------------------------------------------------------------------------------------
【問題現象】
短時間內網咖機器陸續藍屏,且開機什麼都不做都藍屏。藍屏dump以50、7E程式碼為多,dump資訊幾乎全部是srv.sys
【問題原因】
勒索軟體變種病毒在區域網傳播導致
【案例1】
現象:客戶機出現釣魚視窗程式,英雄聯盟登陸不上。
排查過程:
1、從上圖日誌追蹤中發現是由dllhost.exe創建出來的程式,dllhost是系統程序,當時懷疑是被注入了異常dll導致的建立。所以打算用ProcessMonitor抓下完整的啟動過程(ProcessMonitor使用方法)
2、使用ProcessMonitor抓到完整啟動過程後終於抓到了罪魁禍首,程式名為d10g.exe程式,讓我很詫異的是從啟動時間上來分析d10g.exe啟動的非常早,截圖時候選單、跟使用者新增的開機啟動的程式都還沒出現。這裡懷疑是那個服務有問題(
3、前面考慮到時間比較早,所以基本排除svchost被注入的可能了。只有從網路層入手看下,因為步驟1的過程中看到了很多9000埠拿檔案的過程。從網路分析看到的是884從隔壁TF031號機器9000埠拿到了這個d10g.exe程式。
4、查到這裡的時候感覺很奇怪,系統的服務主程序為什麼會做這種事。案例跟之前遇到的很像(相關案例),因為不知道木馬的原理所以只有讓使用者先封掉9000埠臨時處理下了。
【案例二】
我以為案例1遇到的問題是個例,然後並非如此。過幾天又接到渠道的技術反饋有遇到藍屏問題並且都是srv.sys的dump,我拿了一個環境來分析看了下。
現象:客戶機短時間內大量藍屏,且時間很密集。與案例一高度相似。
排查過程
1、有了案例一的經驗後,第一步應該是去看下有沒有dllhost程序,然後看下異常服務下有沒有掛什麼程式。遠端到客戶機後看到可疑點,如下圖所示。
2、根據圖1的可以點,先用ProcessMonitor抓個啟動過程包看下,方法如案例1所示。抓到啟動過程後,果然不出所料。lsass.exe(PID648)服務下面掛了一個svchost.exe,且路徑是不常見的C:\windows\IME路徑下這個肯定是有問題的。正常的lsass.exe服務下不會掛那麼多程式。而且2者質檢PID差距太大(系統所用到的程式父子程序之間結構關係PID差距不會太大,除非是需要外部呼叫的例如WMI的wmiprvse.exe會有點差距,其他一般不會。)
3、繼續看是不是lsass.exe有沒有區域網廣播訪問的過程,不出所料正是lsass.exe訪問了YJ023號機器的26571埠。再看了下本機的網路狀態,在IME路徑下的svchost.exe監聽的埠就是26571。
4、從程式行為上分析,案例1與案例2可以視為一個問題。為了弄清楚怎麼回事,邀請了騰訊安全實驗室的3位大牛一起參與分析木馬程式svchost.exe以及spoolsv.exe2個程式。在spoolsv.exe的程式中發現了一個配置檔案,裡面詳細記錄了程式的可用配置資訊。
5、最終在騰訊安全人員的幫助與分析藍屏dump多方位的定位下確認是區域網傳播,行為與勒索軟體一致導致。打補丁後即可解決,回訪使用者打補丁後問題解決。
安全公告號地址:Microsoft 安全公告 MS17-010 - 嚴重 離線補丁包下載地址:下載連結 (安裝補丁前請開啟windows update服務,安裝時候開啟ProcessExplorer看下是否中馬,如果已經中馬則不要開超級選擇人少時候安裝,以上操作請在有技術人員在場情況下處理,網咖老闆不要私自開超級安裝。)
【掃描下方二維碼關注公眾號,定期推送最新、最專業的技術知識。推薦關注!】
