近期局域网的服务器总是出现不定期的重启导致服务总是不正常,经过杀毒、关端口、删除NetworkDistribution文件等操作,过了几天又出现该病毒,反复出现导致服务器一直处于异常状态。经过排查为局域网内有设备感染WannaMine挖矿木马导致,本文将详细介绍如何处理该故障。附件为WannaMine查杀工具。

WannaMine挖矿木马

一、服务器端火绒离线端杀毒软件,进行全盘扫描查杀。经过测试360很多文件没有查杀出来,使用火绒后可以查到隐藏的病毒文件。

二、使用Autoruns检查自动启动项是否还存在病毒运行的服务。

将自动运行的病毒相关的服务和注册表全部删除,自动启动任务。

三、针对服务器的版本更新“永恒之蓝”补丁。

winxp特别补丁:KB4012598
win2003特别补丁:KB4012598
win2008R2补丁:KB4012212、KB4012215
win7补丁:KB4012212、KB4012215
win7 32位
win7 64位
win10 1607补丁:KB4013429
win2012R2补丁:KB4012213、KB4012216
win2016补丁:KB4013429

四、删除C:\Windows\System32\dllhostex.exe,C:\Windows\NetworkDistribution,C:\Windows\NetworkDistribution\svchost.exe,C:\Windows\System32\svchost.exe,c:\windows\system32\remoteupdateevent.dll。

五、重启服务器,一切正常。

 

PS:

WannaCry勒索与WannaMine挖矿,虽然首次发生的时间已经过去很久了,但依旧能在很多家内网见到这两个,各类杀毒软件依旧无法清除干净,但可以阻断外联及删除病毒主体文件,但依然会残留一些。此种情况下,全流量分析设备依旧可以监测到尝试外联,与445端口扫描行为。

WannaCry 在使用杀毒软件及手动清除攻击组件所在目录后,仍需手动cmd命令删除两个系统服务sc delete mssecsvc2.0与mssecsvc2.1。

WannaMine 全系使用“永恒之蓝”漏洞,在局域网内快速传播。且高版本会在执行成功后完全清除旧版本。所以用杀毒软件查杀后仍然会反复感染。

WannaMine2.0版本
该版本释放文件参考如下:
C:\Windows\SpeechsTracing\Microsoft\
C:\Windows\system32\wmassrv.dll
C:\Windows\system32\HalPluginsServices.dll
C:\Windows\System32\EnrollCertXaml.dll
删除系统服务名与DLL文件对应的wmassrv。

WannaMine3.0版本

该版本释放文件参考如下:

C:\Windows\System32\MarsTraceDiagnostics.xml
C:\Windows\AppDiagnostics\
C:\Windows\System32\TrustedHostex.exe
C:\Windows\System32\snmpstorsrv.dll
需删除主服务snmpstorsrv与UPnPHostServices计划任务

WannaMine4.0版本

该版本释放文件参考如下:
C:\Windows\System32\rdpkax.xsl
C:\Windows\System32\dllhostex.exe
C:\Windows\System32\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\ApplicationNetBIOSClient.dll
C:\Windows\SysWOW64\dllhostex.exe
C:\Windows\NetworkDistribution

攻击顺序:

1.有一个主服务ApplicationNetBIOSClient,对应动态库为ApplicationNetBIOSClient.dll(由系统进程svchost.exe加载),每次都能开机启动,启动后加载spoolsv.exe。

2.spoolsv.exe对局域网进行445端口扫描,确定可攻击的内网主机。同时启动漏洞攻击程序svchost.exe和spoolsv.exe(另外一个病毒文件)。

3.svchost.exe执行“永恒之蓝”漏洞溢出攻击(目的IP由第2步确认),成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。

4.payload(x86.dll/x64.dll)执行后,负责将rdpkax.xsl从本地复制到目的IP主机,注册ApplicationNetBIOSClient主服务,再解压该文件,启动spoolsv执行攻击(每感染一台,都重复步骤1、2、3、4)。

文件名随机组合参考
• 第一部分:Windows、Microsoft、Network、Remote、Function、Secure、Application
•第二部分:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
•第三部分:Service、Host、Client、Event、Manager、Helper、System
•rdp压缩文件随机字符串后缀:xml、log、dat、xsl、ini、tlb、msc

关于Windows下计划任务与启动项查看方式,建议在使用PCHunter、Autoruns、ProcessHacker等工具无法发现异常的情况下,可以到注册表下查看。

注册表下排查可疑的计划任务
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree

发现可疑项可至tasks下查看对应ID的Actions值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\tasks

计划任务文件物理目录
C:\Windows\System32\Tasks\Microsoft\Windows

注册表下查看开机启动项
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run或runOnce

声明:
本站所有文章,如无特殊说明或标注,均为本站原创发布。
任何个人或组织,在未征得本站同意时,禁止复制、盗用、采集、发布本站内容到任何网站、书籍等各类媒体平台。
如若本站内容侵犯了原著者的合法权益,可联系我们进行处理。