<xmp id="ak3ky">
<xmp id="ak3ky"><xmp id="ak3ky">
<ins id="ak3ky"><xmp id="ak3ky"><form id="ak3ky"></form>
<button id="ak3ky"><form id="ak3ky"><ins id="ak3ky"></ins></form></button><form id="ak3ky"></form><xmp id="ak3ky"><form id="ak3ky"></form><form id="ak3ky"><form id="ak3ky"><button id="ak3ky"></button></form></form><xmp id="ak3ky"><form id="ak3ky"></form><xmp id="ak3ky"><xmp id="ak3ky"><form id="ak3ky"></form>
<form id="ak3ky"><form id="ak3ky"><button id="ak3ky"></button></form></form><xmp id="ak3ky">
<form id="ak3ky"><form id="ak3ky"></form></form><form id="ak3ky"><form id="ak3ky"><button id="ak3ky"></button></form></form>
<xmp id="ak3ky">
<xmp id="ak3ky"><form id="ak3ky"></form><xmp id="ak3ky"><xmp id="ak3ky"><form id="ak3ky"><button id="ak3ky"></button></form><xmp id="ak3ky"><form id="ak3ky"></form>
<form id="ak3ky"></form><xmp id="ak3ky"><form id="ak3ky"><form id="ak3ky"></form></form>
<form id="ak3ky"><button id="ak3ky"></button></form><xmp id="ak3ky"><form id="ak3ky"></form><xmp id="ak3ky">
<form id="ak3ky"></form><xmp id="ak3ky"><form id="ak3ky"></form><form id="ak3ky"></form><xmp id="ak3ky"><form id="ak3ky"></form><form id="ak3ky"><form id="ak3ky"><button id="ak3ky"></button></form></form><xmp id="ak3ky"><form id="ak3ky"></form>
<xmp id="ak3ky"><form id="ak3ky"><form id="ak3ky"></form></form>
我們在發展

國內外市場占有率不斷增長

當前位置:首頁 > 資訊中心 > 行業新聞
永恒之藍熱度不減,深信服發現WmSrvMiner新型病毒
發布時間:2018-09-20

 

來源:深信服官網

原文鏈接:http://www.sangfor.com.cn/about/source-news-company-news/1098.html

 

 

 

近期,深信服安全專家追蹤發現了一利用永恒之藍的新型病毒,主機感染量超過15萬,中毒主機主要是被用于挖礦,多表現為異常卡頓,嚴重影響主機性能和業務正常運行。深信服將其命名為WmSrvMiner,并制定了相應的防護措施。

 

該病毒基于永恒之藍的漏洞攻擊,傳播速度極快,內網可在短時間內失陷,此病毒會持續擴大范圍,深信服提醒用戶積極打上 MS17-010漏洞補丁,小心中招!

 

病毒名稱:WmSrvMiner

病毒性質:新型挖礦病毒

影響范圍:超15萬主機感染量

危害等級:高危

傳播方式:利用永恒之藍漏洞在局域網橫向擴散

 

 

病毒分析

WmSrvMiner,涉及的病毒模塊多,查殺難度高,感染面廣,關系復雜。

 

01攻擊場景

 

 

 

中毒主機在C:\Windows目錄下面,有一個svchost.exe的偽裝程序,本質是WmSrvMiner的主體木馬,為整個攻擊的核心組件。一方面主體木馬svchost.exe從HTTP下載站點http://103.55.13.68:13333/,下載NSA套裝以及各種需要用的木馬或者組件。另一方面,主體木馬接收C2站點命令,執行加載器service.exe以及NSA套裝。service.exe負責釋放并加載挖礦進程。

 

NSA套裝存在于C:\Windows\security\IIS文件目錄,包含永恒之藍、永恒浪漫、雙脈沖星等眾多攻擊組件,主要負責利用MS17-010漏洞,進行內網橫向傳播,危害極大。

 

 

 

中毒主機,存在橫向攻擊行為

 

02網絡行為

通過對主體木馬進行逆向分析,發現其C2服務器為indonesias.website,其通過C2接收命令,命令主要是下載并運行指定的惡意文件。

 

 

 

主體木馬svchost.exe是一個典型的木馬程序,逆向結果顯示,有大量的命令處置流程,主要是為了配合云端,對中毒主機下載任意文件或執行任意命令。

 

 

 

 

目前其HTTP下載站點的下載量已經達到15萬+。

 

 

 

03漏洞利用

中毒主機,會在局域網內,利用永恒之藍漏洞,橫向傳播病毒。利用的仍然是NSA套裝,包括但不限于永恒之藍、永恒浪漫、雙脈沖星,當然,還有NSSM、wget等輔助工具。

 

 

 

 

04挖礦

WmSrvMiner主要瞄準的是大規模的集體挖礦,通過利用了永恒之藍漏洞的便利,迅速使之在局域網內迅猛傳播,礦池站點指向indonesias.me。

 

 

 

 

解決方案

 

1、感染主機隔離

已中毒主機盡快隔離,關閉所有網絡連接,禁用網卡。

 

2、病毒攔截

1)切斷傳播途徑:關閉SMB 445等網絡共享端口,關閉異常的外聯訪問。

2)深信服防火墻用戶,可升級僵尸網絡識別庫20180910,進行攔截防護。

 

3、病毒檢測

深信服防火墻及安全感知平臺用戶,可升級僵尸網絡識別庫20180910,進行病毒檢測識別。

 

 

 

 

4、病毒查殺

1)深信服免費提供病毒查殺工具幫助廣大用戶進行病毒查殺(下載地址為:http://edr.sangfor.com.cn/)。

2)推薦使用深信服EDR進行病毒檢測查殺,EDR基于人工智能無特征檢測技術,能夠及時識別新型病毒與變種。

 

 

 

5、漏洞修復

打上“永恒之藍”漏洞補丁,請到微軟官網,下載對應的漏洞補丁(下載地址為:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx)。

 

 

 

咨詢與服務

 

您可以通過以下方式聯系我們,獲取關于WmSrvMiner的免費咨詢及支持服務

1)撥打電話400-630-6430轉6號線

2)關注【深信服技術服務】微信公眾號,選擇“智能服務”菜單,進行咨詢

3)PC端訪問深信服社區 

bbs.sangfor.com.cn,選擇右側智能客服,進行咨詢

yellow片视频在线观看完整版高清,最新AV网站基地网,日韩Av片永久免费水多多