近日,出現一種通過永恆之藍漏洞的新型病毒(WmSrvMiner)。該病毒通過感染主機設備進行挖礦,主要表現為異常卡頓,嚴重影響主機性能和業務正常運行。目前,據第三方機構推測,感染主機數量超過15萬。請各重點單位注意加強主機設備安全防護,提醒職工不點擊來源不明的郵件以及附件,預防感染該病毒。關於新型挖礦病毒WnSrvMiner的緊急預警與處置建議。
二、 事件信息
(一) 事件概要
事件名稱 WnSrvMiner新型挖礦病毒
威脅類型 挖礦病毒
威脅等級高
受影響系統及應用版本
開啟了135,139,445端口SMB網絡共享協議的Windows系統(包括個人版和服務器版)。
(二)漏洞描述
WmSrvMiner利用永恆之藍漏洞進行滲透攻擊,在主機中偽裝為svchost.exe,通過連接http://103.55.13.68:13333下載橫向傳播的攻擊工具,並按照C2站點的命令執行挖礦程序。該病毒集成多種病毒模塊,查殺難度較高,因此極易導致內網橫向傳播擴散。
(三)影響範圍
開啟了135、139、445端口或SMB網絡共享協議的Windows系統(包括個人版和服務器版)。
三、 處置建議
(一)排查方案
1.檢查系統是否打上了最近系統漏洞補丁包;
2.檢查系統是否開啟了445端口的SMB網絡共享協議,或者不必要的共享端口;
3.檢查內網是否有主機訪問http://103.55.13.68:13333;
3.檢查系統是否存在異常運行的svchost.exe;
4.檢查系統C:\\Windows\\security\\IIS文件目錄是否存在永恆之藍(Eternalblue.dll)、永恆浪漫(mance.exe)等攻擊程序。
(二)解決方案
1.隔離感染主機:已中毒計算機儘快隔離,關閉所有網絡連接,禁用網卡;
2.切斷傳播途徑:關閉潛在終端的445等網絡共享端口,關閉異常的外聯訪問;
3.查找攻擊源,確認感染數量:手工抓包分析或藉助態勢感知類產品分析,確認全網感染數量;
4.查殺病毒:可使用以下工具進行查殺(http://edr.sangfor.com.cn/tool/SfabAntiBot.zip);
5. 在網絡出口封堵http://103.55.13.68:13333訪問,阻止惡意程序下載攻擊組件;
6.提高密碼難度:如果主機賬號密碼為簡單密碼,建議重置高強度的密碼。
四、 應急處置建議
一旦發現系統中存在漏洞被利用的情況,要第一時間上報我中心(電話:84452816),同時開展以下緊急處置:
1.是立即斷開被入侵的主機系統的網絡連接,防止進一步危害;
2.是留存相關日誌信息;
3.是通過“解決方案”加固系統並通過檢查確認無相關漏洞後再恢復網絡連接。
網警提醒:請各重點單位注意加強主機設備安全防護,提醒職工不點擊來源不明的郵件以及附件,預防感染該病毒。
閱讀更多 深圳網警 的文章