全国首例!wmixml 挖矿预警,已有企业被成功渗透

  • 来源:深信服安全中心
  • 发布时间:2018-04-22
#

事件描述

    近日,深信服EDR安全团队接到某企业反馈,称其内网大量服务器存在挖矿问题,且难以清理干净。经过我们深入分析,发现这是一种新型的挖矿病毒,属全国首例,其病毒机制与常规挖矿相差很大。目前,我们已将此病毒命名为wmixml挖矿病毒,并且在持续追踪后发现了其入侵途径,同时制定了详细的应对措施。

    此挖矿病毒,不是常规的独立exe,挖矿功能体以密文文件的形式存在。感染主机上,会有一个加载病毒体dll,在被系统进程svchost.exe加载后,读取挖矿密文文件,在内存中解密后再将挖矿原体注入到另外一个系统进程svchost.exe中。由于解密动作发生在内存中,目前已绕过了大量杀毒引擎,达到了免杀的目的。

    0x01 攻击场景

    此次攻击,可谓有备而来,在绕开杀软的思考上做足了功夫。

    image.png

    如上图,appmg.dll是加载病毒体(system32目录下),负责加载挖矿功能。wvms_dp.inf是挖矿密文数据,即其二进制是经过特殊加密处理的,不能直接被执行。由于密文文件不是pe格式等可执行文件,杀软自然扫描不出来。此外,为了保证免杀效果,又将解密后的挖矿病毒体注入到系统进程中执行。

    攻击顺序如下:

    1.首先,当appmg.dll第一次被加载的时候,会注册svchost服务,后续则通过系统进程svchost.exe实现开机自启动。    image.png

    2.其次,appmg.dll被加载后,会读取wvms_dp.inf文件数据,进行解密。

    image.png

    image.png

    3.然后,将解密后的wvms_dp.inf数据(即挖矿二进制模块)注入到新启动的svchost.exe进程里面。

    image.png

    4.最后,注入成功后的系统进程svchost.exe具备了挖矿功能,从wmixml.dat中读取挖矿配置信息,进行挖矿。

    image.png

    0x02 溯源分析

    上述分析,基本回答了病毒的运作原理。但这里,还有一个问题,即病毒是从哪里来?我们了解获知,该企业有不少于十台的服务器中招,但我们逆向的结果显示,此挖矿病毒并不具备横向传播能力,所以,初步分析是内网某台服务器被渗透(黑客攻击成功后,再利用该服务器进行内网渗透)。

    与我们猜测一致,该企业确实有一台对外的Web服务器,而其它的服务器都处在内网环境。我们从此台Web服务器入手,使用深信服EDR WebShell查杀工具进行扫描,发现了大量的网页木马。

    image.png

    此外,分析发现,还存在一个可以远程执行任意命令的木马,由此断定此Web服务器已完全沦陷(我们尝试从外网对该站点进行渗透,同样发现可攻击成功)。

    image.png被渗透成功后的Web服务器上,我们发现了与wmixml挖矿相关的病毒体。由于该Web服务器被完全控制,黑客甚至开了一个具备系统权限的新账号SystemD,由此在内网撕开一个口子,进行任意攻击。

    image.png0x03 危害与启示

    wmixml挖矿病毒的危害是显而易见的,即长期压榨受害者主机性能,为黑客默默赚外快。有趣的是,我们发现wmixml挖矿病毒的作者,智商还是相当高的。一般的挖矿,通常会尽可能多的压榨受害者CPU,使之长期达到80%以上的占用率。但这个作者,非常有自律,严格限制并稳定在25%的CPU占用率。

    image.png

    这样做的一个好处是,由于占用率不是太高,一般人是难以察觉系统已出问题的!

    image.png另外,黑客心机的还表现在,其深知普通挖矿程序一定是可以被杀软查杀出来的。为了避免被杀,黑客对挖矿程序进行了特殊加密,并将解密后的挖矿代码注入到系统进程中(如上图,仅仅只在内存中,我们才能观察到挖矿字符特征)。通常来说,杀软是不敢轻易对系统进程下手的!

解决方案

    1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

    2、确认感染数量:推荐使用深信服防火墙或者安全感知进行全网确认。

    image.png注:截图来源于部署深信服防火墙的真实企业环境。

    3、查杀病毒:推荐使用深信服僵尸网络查杀工具(http://edr.sangfor.com.cn),我们已第一时间支持查杀此病毒。另外,对于企业用户,我们更推荐部署深信服终端检测响应平台(EDR),可对全网主机进行一键查杀并防御。

    image.png

    4、修补漏洞:如果内网使用了JBoss,请确认好版本并修补相关漏洞。

    修改密码:如果主机账号密码比较弱,建议重置高强度的密码。