近一段时间,千里目安全实验室EDR安全团队持续收到大量用户反馈,其内网很多主机存在蓝屏和卡顿现象。经过我们跟踪分析,发现这是利用“永恒之蓝”漏洞的新玩法,其最终目的不再是勒索,而是长期潜伏挖矿,默默赚外快。

此病毒变种,传播机制与WannaCry勒索病毒一致(可在局域网内,通过SMB快速横向扩散),故我们将其命名WannaMine。

0x01 攻击场景

此次攻击,是经过精心设计的,涉及的病毒模块多,感染面广,关系复杂。

如上图,压缩包MsraReportDataCache32.tlb含有所需要的所有攻击组件,其目录下有hashspoolsvsrv等病毒文件,此外,子压缩包crypt有“永恒之蓝”漏洞攻击工具集(svchost.exespoolsv.exex86.dllx64.dll等)。

其中
hash/hash64:为32位/64位挖矿程序,会被重命名为TrueServiceHost.exe
spoolsv/spoolsv64:为32位/64位攻击母体,会被重命名为spoolsv.exe
srv/srv64:为32位/64位为主服务,攻击入口点,会被重命名为tpmagentservice.dll

本文所述病毒文件,释放在下列文件目录中
C:\Windows\System32\MsraReportDataCache32.tlb
C:\Windows\SecureBootThemes\
C:\Windows\SecureBootThemes\Microsoft\
C:\Windows\SecureBootThemes\Crypt\

攻击顺序:
1.srv是主服务,每次都能开机启动,启动后加载spoolsv

点击收藏 | 0 关注 | 1
  • 动动手指,沙发就是你的了!
登录 后跟帖