整理来自:

(1)WannaMine来了?警惕“永恒之蓝”挖矿长期潜伏
http://www.freebuf.com/articles/network/164869.html
(2)NrsMiner:一个构造精密的挖矿僵尸网络
http://www.freebuf.com/articles/system/162874.html
(3)MsraMiner 被曝光后72小时内的更新
https://paper.tuisec.win/detail/aa6e84f6133184d
(4)MsraMiner: 潜伏已久的挖矿僵尸网络
http://blog.netlab.360.com/msraminer-qian-fu-yi-jiu-de-wa-kuang-jiang-shi-wang-luo/
(5)深信服报道
http://www.sangfor.com.cn/about/source-news-product-news/1034.html

(一)WannaMine

病毒文件:
hash/hash64:为32位/64位挖矿程序,会被重命名为TrueServiceHost.exe。
spoolsv/spoolsv64:为32位/64位***母体,会被重命名为spoolsv.exe。
srv/srv64:为32位/64位为主服务,***入口点,会被重命名为tpmagentservice.dll。

本文所述病毒文件,释放在下列文件目录中
C:\Windows\System32\MsraReportDataCache32.tlb
C:\Windows\SecureBootThemes\
C:\Windows\SecureBootThemes\Microsoft\
C:\Windows\SecureBootThemes\Crypt\

注册服务:srv。 主服务文件:tpmagentservice.dll

外网链接:
hxxp://acs.njaavfxcgk3.club:4431/f79e53
hxxp://rer.njaavfxcgk3.club:4433/a4c80e
hxxp://rer.njaavfxcgk3.club:4433/5b8c1d
hxxp://rer.njaavfxcgk3.club:4433/d0a01e

日志文件:stage1.txt。
日志文件:stage2.txt
DoublePulsar后门程序spoolsv.exe的配置文件:spoolsv.xml

挖矿地址:nicehash.com、minergate.com

@@@@@现场发现的实例:
“永恒之蓝”漏洞利用使用445端,SMB协议漏洞。一般而言,安装补丁后或者禁用445端口均可以对抗病毒的传播。
本次发现的病毒主要行为有:
(1) 病毒更新模块为:ProximityUntilCache32.tlb
(2) 病毒运行传播模块为:spoolsv.exe
(3) 病毒运行模块为:svchost.exe

各病毒文件及文件夹如图中所示:
C:\Windows\SecureBootThemes
C:\Windows\System32\ProximityUntilCache32.tlb
C:\Windows\System32\SecureBootThemes\spoolsv.exe

其中,我们将ProximityUntilCache32.tlb解压后可以看到包含的所有***文件。
“永恒之蓝”利用-挖矿_第1张图片

处理过程:
(1) 断开网络
(2) 删除文件
C:\Windows\SecureBootThemes
C:\Windows\System32\ProximityUntilCache32.tlb
C:\Windows\System32\SecureBootThemes\spoolsv.exe
(3) 如果不能成功删除,打开任务管理器,
找到两个文件路径不在system32下边的spoolsv.exe和svchost.exe的两个进程,结束进程树。一定要注意路径,正常的系统也会有这两个进程。结束后,删除病毒文件。
(4) 安装ms17-010补丁
(5) 安装杀毒软件查杀病毒。

结语:目前没有发现挖矿模块的启动,以及病毒自启动的方式,需要进一步跟进。

(二)NrsMiner

病毒更新包文件:NrsDataCache.tlb

(1)主控模块作为服务“Hyper-VAccess Protection Agent Service”,模块名:vmichapagentsrv.dll
该服务被加入netsvcs服务组中借助svchost.exe启动(找到注册表子健HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost 并打开子健项netsvcs。netsvcs里面的值就是svchost的服务组netsvcs所启动的所有服务 )

(2)网络:vpp.jdi1diejs.club(打点)
dlr.noilwut0vv[.]club/d/msdownload/others/BtnProtocol.exe(模块更新)
log[.]oiwcvbnc2e.stream(模块更新)
hxxp://vpp.jdi1diejs.club/NrsDataCache.tlb
mg[.]jdi1diejs.club:45560(矿池)

(3)挖矿程序:hash,将其复制到system32或SysWOW64目录下命名为TaskSyncHost.exe并启动该程序进行挖矿。

(4)释放的WebServer绑定的端口为26397

存放NrsMiner组件的路径
路径
C:\Windows\IME
C:\windows\SysprepThemes
C:\windows\Sysnative
C:\windows\securebootthemes

永恒之蓝***文件夹:

“永恒之蓝”利用-挖矿_第2张图片

(三)WannaMine2.0

5月21日更新(深信服发现的挖矿):

1.HalPluginsServices.dll是主服务,每次都能开机启动,启动后加载spoolsv.exe。

2.spoolsv.exe对局域网进行 445 端口扫描,确定可***的内网主机。同时启动漏洞***程序svchost.exe和spoolsv.exe(另外一个病毒文件)。

3.svchost.exe执行“永恒之蓝”漏洞溢出***(目的IP由第 2 步确认),成功后spoolsv.exe(NSA***工具包DoublePulsar后门)安装后门,加载payload(x86.dll/x64.dll)。

4.payload(x86.dll/x64.dll)执行后,负责将EnrollCertXaml.dll从本地复制到目的IP主机,再解压该文件,注册srv主服务,启动spoolsv执行***(每感染一台,都重复步骤1、2、3、4)。

WannaMine 2. 0 变种包含的病毒文件,主要释放在下列文件目录中:

C:\Windows\System32\HalPluginsServices.dll

C:\Windows\System32\EnrollCertXaml.dll

C:\Windows\SpeechsTracing\

C:\Windows\SpeechsTracing\Microsoft\

网络行为

检测到WannaMine2. 0 的C&C服务器为:

task.attendecr.com

scan.attendecr.com

error.attendecr.com

局域网传播上,仍然是沿用WannaMine的机制。通过spoolsv.exe和svchost.exe配合,利用永恒之蓝漏洞进行***,实现病毒自我复制到目标主机上。

有别于WannaMine, 此次变种2. 0 删除了自更新机制,包括外网更新和局域网更新两个方面。另外,也不再创建微型Web服务端,供内网其它无法上网的主机下载更新。意味着感染主机不再做病毒更新。

解决方案:

如果可以连网,直接打开系统的自动更新吧。。。。

(1)打补丁ms17-010
官方补丁:
https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
个人补丁下载:
hxxp://www.fjedu.gov.cn/html/wsbs/xzzx/2017/05/14/275887f4-4d35-4e14-9ed1-e6bf230371fd.html

     补丁号:

“永恒之蓝”利用-挖矿_第3张图片

注:补丁如果打不上原因kennel是补丁依赖,即安装此次的补丁需要前一个补丁的支持。

(3)445端口封堵
防火墙禁用445端口
组策略445端口
禁用SMB服务
免疫工具:hxxp://www.antiy.com/response/wannacry/Vaccine_for_wannacry.zip

(4)安装杀毒软件查杀。

如何判定是否安装补丁

(1)控制面板-程序和功能-卸载程序-补丁更新

(2)cmd命令行-输入systeminfo

(3)win+R 输入regedit
依次展开,查看注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\Currentversion\hotfix

“永恒之蓝”利用-挖矿_第4张图片

其它处理过程中使用的脚本

同事提供的处理脚本:

@echo off
echo Start...

set Service2=vmichapagentsrv
set Service3=tpmagentservice
rem iolchxfz32.dat/svchost32.exe/spoolsv32.exe Rename C:\Windows\system32\IME\Crypt\(settings7283.dat/svchost.exe/spoolsv.exe)
set File1=1.txt

netstat -ano | findstr 445  | findstr spoolsv.exe

rem 1.x 
rem dnsclientprovider_userdata.mof will be delete
rem set File1=dnsclientprovider_userdata.mof

echo=
echo Checking Files...

for %%i in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do (
  if exist %%i:\ (
    for /f "delims=" %%j in ('dir /a-d /s /b "%%i:\*%File1%" 2^>nul') do (
      if /i "%%~nxj" equ "%File1%" (
        echo,%%j 
      )
    )
  )
)

rd /s/q C:\Windows\system32\IME\Crypt\

rem 2.x
echo=
echo Checking Process...
tasklist -v | findstr TrustedHostServices.exe
taskkill /im TrustedHostServices.exe /f
rd /s/q C:\Windows\system32\SecureBootThemes
del C:\Windows\system32\TrustedHostServices.exe
del C:\Windows\system32\SecUpdateHost.exe
del C:\Windows\system32\NetTraceDiagnostics.ini
del C:\Windows\system32\MsraReportDataCache32.tlb

echo=
echo Checking Services...

sc query |find /i "%Service2%" >nul 2>nul 
if not ErrorLevel 1 (  
  echo "%Service2% exists!!!"    
) 

rem 3.x
tasklist -v | findstr WUDHostServices.exe
taskkill /im WUDHostServices.exe /f
rd /s/q C:\Windows\system32\SecureBootThemes
del C:\Windows\system32\WUDHostServices.exe
del C:\Windows\system32\NetTraceDiagnostics.ini
del C:\Windows\system32\ProximityUntilCache32.tlb

REG DELETE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ /v ServicesPixels

echo=
echo Checking Services...

sc query |find /i "%Service3%" >nul 2>nul 
if not ErrorLevel 1 (  
  echo "%Service3% exists!!!"    
) 

echo=
echo Checking Finished!

pause
exit

我自己写的简单处理脚本:

for /f "tokens=2 " %%a in ('tasklist  /fi "imagename eq WUDHostServices.exe" /nh') do taskkill /f /pid %%a

del /F /S /Q C:\Windows\system32\NetTraceDiagnostics.ini

del /F /S /Q C:\Windows\system32\WUDHostServices.exe

rmdir /s /q C:\Windows\SecureBootThemes

del /F /S /Q C:\Windows\System32\ProximityUntilCache32.tlb

del /F /S /Q C:\Windows\System32\SecureBootThemes\spoolsv.exe
REG DELETE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ /v ServicesPixels

pause