“永恒之石”挖矿病毒预警

2018-08-01 00:00:00 0

近日,亚信安全截获 “永恒之石”挖矿病毒,该病毒利用MS17-010漏洞进行传播。同时也利用20174月泄露的NSA黑客工具进行传播,其中包括多种漏洞攻击工具。亚信安全将其命名为TROJ_ETEROCK.CTROJ_EQUATED.G/J

 

病毒攻击流程

 

该病毒会在hxxp://ubgdgno5eswkhmpy.onion/updates/download?id=PC站点下载恶意程序svchost.xmlspoolsv.xml(该恶意程序已经被检测为TROJ_ETEROCK.C)。

运行下载的恶意程序并释放漏洞攻击包MsraReportDataCache32.tlbproximityuntilcashe32.tlb(其中的恶意组件可被检测为TROJ_EQUATED.G)。

将漏洞攻击包解压到C:\Windows\system32目录下,并运行攻击程序。

这些攻击程序会随机扫描445端口,如果检测到SMB漏洞,会将第一阶段下载的恶意程序发送到远程主机上。

如何判断系统感染该病毒?

 

1.    系统CPU资源占用非常高,通常达到70%以上。

2.    系统出现“Windows 已遇到关键问题,将在一分钟后自动重新启动,请立即保存您的工作。”的提示并重启系统。

TROJ_ETEROCK.C木马程序简介:

感染方式:

该木马程序由其它恶意程序生成或者用户访问恶意网址不经意下载感染本机。

行为分析:

?  该木马程序在C:\Windows\SecureBootThemes\Microsoft\目录中生成svchost.xmlspoolsv.xml文件。

?  该木马程序链接如下地址下载组件:

l   http://apps.{BLOCKED}trust.com/roots/dstrootcax3.p7c

l   http://api.{BLOCKED}et.org/packages/taskscheduler.2.5.23.nupkg.

?   该木马程序通过网络与C&C服务器进行通信:

l   http://ubgdgno5eswkhmpy.onion.

?  该木马添加防火墙规则,将病毒攻击组件、Tor组件、端口加入白名单。

TROJ_EQUATED.G木马程序简介:

感染方式:

l   该病毒与其他恶意程序捆绑或作为恶意程序组件感染本机;

l   该病毒由其它恶意程序生成或用户访问恶意网址不经意下载感染本机;

l   用户不经意点击运行该病毒。

该恶意病毒会利用以下漏洞:

l   CVE-2017-0143 - Windows SMB Remote CodeExecution Vulnerability

l   CVE-2017-0144 - Windows SMB Remote CodeExecution Vulnerability

l   CVE-2017-0145 - Windows SMB Remote CodeExecution Vulnerability

l   CVE-2017-0146 - Windows SMB Remote CodeExecution Vulnerability

l   CVE-2017-0147 - Windows SMB InformationDisclosure Vulnerability

l   CVE-2017-0148- Windows SMB Remote Code Execution Vulnerability

 

防护措施:

 

?  利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务)。

 

?  打开系统自动更新,并检测更新进行安装。该病毒涉及漏洞及安装地址如下:

 

l   Microsoft Security Bulletin MS08-067

l   Microsoft Security Bulletin MS10-061

l   Microsoft Security Bulletin MS14-068

l   Microsoft Security Bulletin MS17-010

 

亚信安全产品防护措施:

 

1、 在防病毒服务器上开启爆发阻止策略,阻止文件写入:MsraReportDataCache32.tlbproximityuntilcashe32.tlbTrustedHostServices.exe

2、 OSCE12.0版本带有虚拟补丁功能,开启该功能可以有效防御病毒利用漏洞传播。

3、亚信安全Deep Security DPI规则可有效拦截上述漏洞,规则如下:

l   1003292 - Block Conficker.B++ Worm Incoming Named Pipe Connection

l   1003080 - Server Service Vulnerability (srvsvc)

l   1004401 - Print Spooler Service Impersonation Vulnerability

l   1006397 - Microsoft Windows Kerberos Checksum Vulnerability (CVE-2014-6324)

l   1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)

l   1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)

l   1008227 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0147)

l   1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)

 

4、亚信安全TDA规则可以有效检测该病毒,规则如下:

l   OPS_MS08-067_Server_Service_Path_Canonicalization_Exploit - CVE-2008-4250

 

l   SMB_MS10-061_Print_Spooler_Service_Impersonation_Exploit - CVE-2010-2729

 

l   MS14-068_KERBEROS_Checksum_Vulnerability - CVE-2014-6324

 

l   MS17-010-SMB_REMOTE_CODE_EXECUTION_EXPLOIT -    CVE-2017-0144,    CVE-2017-0145,    CVE-2017-0147

 

5亚信安全Deep Edge已发布了针对微软远程代码执行漏洞 CVE-2017-01444IPS规则:

 

l   规则名称:微软MS17 010 SMB远程代码执行1-4

l   规则号: 1133635,1133636,1133637,1133638


富贵网赚