新闻中心

    新闻中心  >  wmixml新型挖矿病毒预警,,,,已有企业被成功渗透!!!
    wmixml新型挖矿病毒预警,,,已有企业被成功渗透!!!
    背景图 2021-07-29 00:00:00

    近日,,拓客猫软件EDR安全团队接到某企业反馈,,,,称其内网大量服务器存在挖矿问题,,,且难以清理干净。。。。经过拓客猫软件安全专家深入分析,,发现这是一种新型的挖矿病毒,,其病毒机制与常规挖矿相差很大。。。拓客猫软件 EDR 安全团队在持续追踪后发现了病毒入侵途径,,拓客猫软件已将此病毒命名为wmixml挖矿病毒,,,,同时制定了详细的应对措施。。

    病毒名称:wmixml

    病毒性质:新型挖矿病毒

    影响范围:全国

    危害等级:二级

    查杀难度:极难

     病毒简介:

    不同于常规挖矿病毒,,, wmixml 的挖矿功能体以密文文件的形式存在而不是常规的独立exe。。。。感染主机上,,,会有一个加载病毒体dll,,,在被系统进程svchost.exe加载后,,读取挖矿密文文件,,,,在内存中解密后再将挖矿原体注入到另外一个系统进程svchost.exe中。。。由于解密动作发生在内存中,,,,目前已绕过了大量杀毒引擎。。。。

    攻击场景:

    此次攻击,,,,可谓有备而来,,,,在绕开杀软的思考上做足了功夫。。。。


    如上图,,,,appmg.dll是加载病毒体(system32目录下),,负责加载挖矿功能。。。wvms_dp.inf是挖矿密文数据,,,,即其二进制是经过特殊加密处理的,,,,不能直接被执行。。由于密文文件不是pe格式等可执行文件,,杀软自然扫描不出来。。。。此外,,,,为了保证免杀效果,,,,又将解密后的挖矿病毒体注入到系统进程中执行。。。。

    攻击顺序如下:

    • 首先,,当appmg.dll第一次被加载的时候,,,,会注册svchost服务,,后续则通过系统进程svchost.exe实现开机自启动。。。


     

    • 其次,,,,appmg.dll被加载后,,,会读取wvms_dp.inf文件数据,,,,进行解密。。。


     

     

     

    • 然后,,,将解密后的wvms_dp.inf数据(即挖矿二进制模块)注入到新启动的svchost.exe进程里面。。。

     

    • 最后,,注入成功后的系统进程svchost.exe具备了挖矿功能,,从wmixml.dat中读取挖矿配置信息,,进行挖矿。。

     

    ________________________________________

    溯源分析:

    以上是病毒的运作原理。。。。但病毒从哪里来???拓客猫软件EDR安全团队了解获知,,该企业有不少于十台的服务器中招,,,,但逆向的结果显示,,,此挖矿病毒并不具备横向传播能力,,,,因此初步分析是内网某台服务器被渗透(黑客攻击成功后,,,再利用该服务器进行内网渗透)。。。。

    与预想的一致,,,,该企业确实有一台对外的Web服务器,,,而其它的服务器都处在内网环境。。。安全团队从此台Web服务器入手,,使用拓客猫软件EDR WebShell查杀工具进行扫描,,发现了大量的网页木马。。

    此外,,,分析发现,,,还存在一个可以远程执行任意命令的木马,,,,由此断定此Web服务器已完全沦陷(安全团队尝试从外网对该站点进行渗透,,,同样发现可攻击成功)。。。。

     

    被渗透成功后的Web服务器上,,安全团队发现了与wmixml挖矿相关的病毒体。。。。由于该Web服务器被完全控制,,,,黑客甚至开了一个具备系统权限的新账号SystemD,,由此在内网撕开一个口子,,进行任意攻击。。

     

    ________________________________________

    危害与启示:

    wmixml挖矿病毒的危害是显而易见的,,,,即长期压榨受害者主机性能,,,为黑客默默赚外快。。此外本次安全团队发现的 wmixml 挖矿病毒在隐蔽性方面做的非常高明。。。一般的挖矿,,通常会尽可能多地压榨受害者CPU,,使之长期达到80%以上的占用率。。。。但这个作者却严格限制并稳定在25%的CPU占用率。。

     

    在此限制下,,,由于占用率不是太高,,一般用户难以察觉系统已出问题。。。

     

    另外,,,黑客深知普通挖矿程序可以被杀毒软件查杀出来。。为了避免被杀,,,黑客对挖矿程序进行了特殊加密,,并将解密后的挖矿代码注入到系统进程中(如上图仅仅只在内存中,,,安全团队才能观察到挖矿字符特征)。。通常来说,,,杀软不敢轻易对系统进程下手,,,病毒因此有了免死金牌!!!

    解决方案:

    • 隔离感染主机:已中毒计算机请尽快隔离,,关闭所有网络连接,,,禁用网卡;
    • 确认感染数量:推荐使用拓客猫软件防火墙或者安全感知进行全网检测,,,避免病毒持续潜伏;


     

    注:截图来源于部署拓客猫软件防火墙的真实企业环境

    • 查杀病毒:推荐使用拓客猫软件僵尸网络查杀工具(https://edr.0518zhaopin.com),,,拓客猫软件僵尸网络查杀工具支持查杀此病毒。。。另外,,,拓客猫软件推荐企业用户部署拓客猫软件终端检测响应平台(EDR),对主机进行一键查杀并持续保护主机不再遭受攻击。。。。

     

    • 修补漏洞:如果内网使用了JBoss,,请确认好版本并修补相关漏洞。。。。
    • 修改密码:如果主机账号密码比较弱,,,建议重置高强度的密码。。
    站点地图