国内首例！深信服发现WannaMine最新变种正在集体

近日，国内某企业疑内网有主机受病毒感染，通过深信服终端检测..（EDR产品）进行全网扫描后发现存在大量主机感染相同病毒。经过深信服安全专家深入分析，发现这是一种最新型的WannaMine变种。该变种基于WannaMine改造，加入了一些免杀技术，传播机制与WannaCry勒索病毒一致（可在局域网内，通过SMB快速横向扩散），深信服将其命名WannaMine2.0，同时制定了详细的应对措施。

目前，该企业为国内发现感染WannaMine2.0的首例，发现时间与国际上首例发现时间相距仅为2天，传播快速，未来很有可能感染面跟原始变种WannaMine一样惊人！ [转载出处：www.11jj.com]

病毒分析

此次 WannaMine 2.0变种，沿用了WannaMine的精心设计，涉及的病毒模块多，感染面广。与此同时，该变种具备免杀功能，查杀难度高。一旦出现主机受感染，利用“永恒之蓝”漏洞，最终将造成局域网内大量主机都被感染并进行挖矿！

01

攻击场景

1.HalPluginsServices.dll是主服务，每次都能开机启动，启动后加载spoolsv.exe。

2.spoolsv.exe对局域网进行445端口扫描，确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe（另外一个病毒文件）。

3.svchost.exe执行“永恒之蓝”漏洞溢出攻击（目的IP由第2步确认），成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门）安装后门，加载payload（x86.dll/x64.dll）。

4.payload（x86.dll/x64.dll）执行后，负责将EnrollCertXaml.dll从本地复制到目的IP主机，再解压该文件，..srv主服务，启动spoolsv执行攻击（每感染一台，都重复步骤1、2、3、4）。

WannaMine 2.0变种包含的病毒文件，主要释放在下列文件目录中：

C:\Windows\System32\EnrollCertXaml.dll

C:\Windows\SpeechsTracing\

C:\Windows\SpeechsTracing\Microsoft\

02

网络行为

检测到WannaMine2.0的C&C服务器为：

task.attendecr.com

scan.attendecr.com

error.attendecr.com

WannaMine 2.0 C&C服务器

局域网传播上，仍然是沿用WannaMine的机制。通过spoolsv.exe和svchost.exe配合，利用永恒之蓝漏洞进行攻击，实现病毒自我复制到目标主机上。

有别于WannaMine, 此次变种2.0删除了自更新机制，包括外网更新和局域网更新两个方面。另外，也不再创建微型Web服务端，供内网其它无法上网的主机下载更新。意味着感染主机不再做病毒更新。

03

攻击危害：集体挖矿

WannaMine2.0沿用WannaMine的套路，同样是瞄准了大规模的集体挖矿（利用了“永恒之蓝”漏洞的便利，使之在局域网内迅猛传播），矿池站点任然指向nicehash.com、minergate.com。

解决方案

1、隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡。

2、切断传播途径：关闭潜在终端的SMB 445等网络共享端口，关闭异常的外联访问。深信服下一代防火墙用户，可开启IPS和僵尸网络功能进行封堵，其中僵尸网络识别库请升级到20180509及以上版本。

3、查找攻击源：手工抓包分析或借助深信服安全感知快速查找攻击源，避免更多主机持续感染。

4、查杀病毒：推荐使用深信服EDR进行病毒查杀，快速分析流行事件，实现终端威胁闭环处置响应。

截图来自部署深信服EDR产品的真实用户场景

5、修补漏洞：为内网所有主机打上“永恒之蓝”漏洞补丁，请到微软官网，下载对应的漏洞补丁：

http://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

咨询与服务

您可以通过以下方式联系深信服，获取关于WannaMine 2.0变种的免费咨询及支持服务：

1）拨打电话400-630-6430（转6号线进入安全专线咨询）
2）PC端访问深信服社区   bbs.sangfor.com.cn，选择右侧在线咨询或智能服务，进行咨询

专注做实用的安全，能够帮助组织更有效地检测并阻止安全威胁，降低IT业务创新过程中的各种风险，为您的网络、数据和业务提供全面保护，让每个组织的安全建设更有效、更简单。

点击“阅读原文”免费试用深信服智安全产品。