Wmixml新型挖礦病毒預(yù)警已有企業(yè)被成功滲透

■朱榮

■朱榮

近日，千里目安全實(shí)驗(yàn)室EDR安全團(tuán)隊(duì)接到某企業(yè)反饋，稱其內(nèi)網(wǎng)大量服務(wù)器存在挖礦問(wèn)題，且難以清理干凈。經(jīng)過(guò)深入分析，發(fā)現(xiàn)這是一種新型的挖礦病毒，屬全國(guó)首例，其病毒機(jī)制與常規(guī)挖礦相差很大。EDR安全團(tuán)隊(duì)在持續(xù)追蹤后發(fā)現(xiàn)了病毒入侵途徑，已將此病毒命名為Wmixml挖礦病毒，同時(shí)制定了詳細(xì)的應(yīng)對(duì)措施。

病毒簡(jiǎn)介

不同于常規(guī)挖礦病毒，wmixml的挖礦功能體以密文文件的形式存在而不是常規(guī)的獨(dú)立exe。感染主機(jī)后，會(huì)有一個(gè)加載病毒體dll，在被系統(tǒng)進(jìn)程svchost.exe加載后，讀取挖礦密文文件，在內(nèi)存中解密后再將挖礦原體注入到另外一個(gè)系統(tǒng)進(jìn)程svchost.exe中。由于解密動(dòng)作發(fā)生在內(nèi)存中，目前已繞過(guò)了大量殺毒引擎，達(dá)到了免殺的目的。

攻擊場(chǎng)景

此次攻擊可謂有備而來(lái)，在繞開(kāi)殺毒軟件的思考上做足了功夫。

如圖，appmg.dll是加載病毒體(system32 目錄下)，負(fù)責(zé)加載挖礦功能。wvms_dp.inf是挖礦密文數(shù)據(jù)，即其二進(jìn)制是經(jīng)過(guò)特殊加密處理的，不能直接被執(zhí)行。由于密文文件不是pe格式等可執(zhí)行文件，殺毒軟件自然掃描不出來(lái)。此外，為了保證免殺效果，又將解密后的挖礦病毒體注入到系統(tǒng)進(jìn)程中執(zhí)行。

攻擊順序如下：

首先，當(dāng)appmg.dll第一次被加載時(shí)，會(huì)注冊(cè)svchost服務(wù)，后續(xù)則通過(guò)系統(tǒng)進(jìn)程svchost.exe實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)。

其次，appmg.dll被加載后，會(huì)讀取wvms_dp.inf文件數(shù)據(jù)，進(jìn)行解密。

然后，將解密后的wvms_dp.inf數(shù)據(jù)（即挖礦二進(jìn)制模塊）注入到新啟動(dòng)的svchost.exe進(jìn)程里面。

最后，注入成功后的系統(tǒng)進(jìn)程svchost.exe具備了挖礦功能，從wmixml.dat中讀取挖礦配置信息，進(jìn)行挖礦。

溯源分析

以上是病毒的運(yùn)作原理。但病毒從哪里來(lái)？EDR安全團(tuán)隊(duì)了解獲知，該企業(yè)有不少于十臺(tái)的服務(wù)器中招，但追蹤逆向的結(jié)果顯示，此挖礦病毒并不具備橫向傳播能力，因此初步分析是內(nèi)網(wǎng)某臺(tái)服務(wù)器被滲透。

與預(yù)想的一致，該企業(yè)確實(shí)有一臺(tái)對(duì)外的Web服務(wù)器，而其它的服務(wù)器都處在內(nèi)網(wǎng)環(huán)境。安全團(tuán)隊(duì)從此臺(tái)Web服務(wù)器入手，使用EDR WebShell查殺工具進(jìn)行掃描，發(fā)現(xiàn)了大量的網(wǎng)頁(yè)木馬。

此外，分析發(fā)現(xiàn)，還存在一個(gè)可以遠(yuǎn)程執(zhí)行任意命令的木馬，由此斷定此Web服務(wù)器已完全淪陷。

被滲透成功后的Web服務(wù)器上，安全團(tuán)隊(duì)發(fā)現(xiàn)了與wmixml挖礦相關(guān)的病毒體。由于該Web服務(wù)器被完全控制，黑客甚至開(kāi)了一個(gè)具備系統(tǒng)權(quán)限的新賬號(hào)SystemD，由此在內(nèi)網(wǎng)撕開(kāi)一個(gè)口子，進(jìn)行任意攻擊。

危害與啟示

wmixml挖礦病毒的危害是顯而易見(jiàn)的，即長(zhǎng)期壓榨受害者主機(jī)性能，為黑客默默賺外快。此外本次安全團(tuán)隊(duì)發(fā)現(xiàn)wmixml挖礦病毒在隱蔽性方面做的非常高明。一般的挖礦，通常會(huì)盡可能多的壓榨受害者CPU，使之長(zhǎng)期達(dá)到80%以上的占用率。但這個(gè)作者，卻嚴(yán)格限制并穩(wěn)定在25%的CPU占用率。

在此限制下，由于占用率不是太高，一般用戶難以察覺(jué)系統(tǒng)已出問(wèn)題。

另外，黑客深知普通挖礦程序可以被殺毒軟件查殺出來(lái)。為了避免被殺，黑客對(duì)挖礦程序進(jìn)行了特殊加密，并將解密后的挖礦代碼注入到系統(tǒng)進(jìn)程中（僅僅只在內(nèi)存中，安全團(tuán)隊(duì)才能觀察到挖礦字符特征）。通常來(lái)說(shuō)，殺軟不敢輕易對(duì)系統(tǒng)進(jìn)程下手，病毒因此有了免死金牌！

解決方案

1.隔離感染主機(jī)：已中毒計(jì)算機(jī)請(qǐng)盡快隔離，關(guān)閉所有網(wǎng)絡(luò)連接，禁用網(wǎng)卡；

2.確認(rèn)感染數(shù)量：推薦使用防火墻或者安全感知進(jìn)行全網(wǎng)檢測(cè)，避免病毒持續(xù)潛伏；

3.查殺病毒：推薦使用僵尸網(wǎng)絡(luò)查殺工具；

4.修補(bǔ)漏洞：如果內(nèi)網(wǎng)使用了JBoss，請(qǐng)確認(rèn)好版本并修補(bǔ)相關(guān)漏洞；

5.修改密碼：如果主機(jī)賬號(hào)密碼比較弱，建議重置高強(qiáng)度的密碼。