亞信安全截獲利用「永恆之石」傳播的「偽裝者病毒」
重大預警
近日,亞信安全截獲「偽裝者」病毒,該病毒偽裝成微軟廠商的文件,並通過「永恆之石」漏洞進行傳播。其會在內網擴散,下載挖礦程序。亞信安全將其命名為TROJ_FRS.VSN07G18。
亞信安全詳解「偽裝者病毒」技術細節
偽裝者病毒是由多個組件在內存中加密合併而成,其中包括常見的wmassrv.dll。合併前部分樣本信息:
該病毒會在C:WindowsRemoteDistribution目錄下創建Microsoft目錄,該目錄中包含大量「永恆之石」病毒的相關組件,「永恆之石」病毒利用的系統漏洞有:
Microsoft Security Bulletin MS08-067
Microsoft Security Bulletin MS10-061
Microsoft Security Bulletin MS14-068
Microsoft Security Bulletin MS17-010
該病毒在C:WindowsRemoteDistribution目錄中生成spoolsv.exe文件,刪除C:WindowsRemoteDistribution或者在該目錄下建立同名文件會阻止該現象發生,但是一旦機器重新啟動,病毒會刪除並重新建立該目錄,繼續寫入spoolsv.exe文件。spoolsv.exe文件會對內網進行arp掃描攻擊其他機器的445埠等。
通過尋找其父進程的方法我們可以定位到是由svchost進程啟動。
svchost由系統service服務啟動,結合該病毒行為,我們可以確認該病毒有自啟動行為,系統中存在自啟動項目。我們首先查看該進程的導入模塊以及線程,發現都帶有微軟廠商的標籤。
使用autoruns工具也未能找到可疑的非系統啟動項。說明可能有偽裝成系統啟動項的惡意模塊。通過反覆的查殺病毒,再生成,可以觀察出某個線程的切換次數頻率呈線性遞增。
定位到該模塊的路徑。我們發現rpcpolicymgr.dll文件不僅偽裝成微軟廠商系統文件,還對文件的時間戳進行修改,進一步的隱藏自身。
通過查看Dump系統的進程模塊信息,我們發現rpcpolicymgr.dll文件確實存在。
隨後我們通過搜索註冊表的鍵值,找到偽裝者病毒的開機自啟動項目。
該病毒具有蠕蟲行為,可以自我複製傳播:
亞信安全教你如何防範
使用安全產品對已知病毒清理完畢後,可以通過系統審核日誌的方式找到是由具體哪個svchost寫入spoolsv.exe文件。
隨後終止該父進程svchost和子進程spoolsv,並刪除C:WindowsRemoteDistribution目錄下的所有文件。
清除註冊表中含有rpcpolicymgr字元的鍵值,並刪除c:windowssystem32
pcpolicymgr.dll文件。
重新啟動後驗證是否清理乾淨。
亞信安全產品解決方案
亞信安全病毒碼版本14.363.60已經可以檢測,請用戶及時升級病毒碼版本。
亞信安全Deep Security DPI規則可有效攔截該漏洞,規則如下:
1003292 - Block Conficker.B++ Worm Incoming Named Pipe Connection
1003080 - Server Service Vulnerability (srvsvc)
1004401 - Print Spooler Service Impersonation Vulnerability
1006397 - Microsoft Windows Kerberos Checksum Vulnerability (CVE-2014-6324)
1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)
1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)
1008227 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0147)
1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)
亞信安全深度發現設備TDA檢測規則如下:
OPS_MS08-067_Server_Service_Path_Canonicalization_Exploit - CVE-2008-4250
SMB_MS10-061_Print_Spooler_Service_Impersonation_Exploit - CVE-2010-2729
MS14-068_KERBEROS_Checksum_Vulnerability - CVE-2014-6324
MS17-010-SMB_REMOTE_CODE_EXECUTION_EXPLOIT - CVE-2017-0144, CVE-2017-0145, CVE-2017-0147
※亞信安全出席2018年VMware大中華區合作夥伴領導人峰會
TAG:亞信安全 |