信息來源：FreeBuf.com

一、應(yīng)急服務(wù)背景

2019年5月，安天接到某重要單位的求助，其內(nèi)網(wǎng)中執(zhí)行任務(wù)的上百臺(tái)主機(jī)頻繁出現(xiàn)死機(jī)、重啟、藍(lán)屏等現(xiàn)象，用戶原部署使用的某款殺毒軟件能查出病毒告警，但顯示成功清除后，病毒很快會(huì)重新出現(xiàn)。用戶嘗試采用其他工具進(jìn)行處理，未能解決問題，遂向我們尋求幫助。在電話遠(yuǎn)程協(xié)助用戶處置的同時(shí)，我們派出由安全服務(wù)工程師、智甲終端防御系統(tǒng)產(chǎn)品支持工程師組成的應(yīng)急服務(wù)小組，攜智甲終端防御系統(tǒng)安裝盤、便攜式探海威脅檢測(cè)系統(tǒng)、拓痕應(yīng)急處置工具箱，及最新病毒庫(kù)、補(bǔ)丁包等配套資源，于接到求助當(dāng)日傍晚飛抵用戶現(xiàn)場(chǎng)進(jìn)行處置，快速解決了問題。

二、現(xiàn)場(chǎng)信息采集觀測(cè)和研判

工程師到達(dá)現(xiàn)場(chǎng)后，快速與用戶進(jìn)行了交流研判，共同確定了基于部署探海進(jìn)行流量側(cè)的監(jiān)測(cè)分析、通過拓痕進(jìn)行端點(diǎn)的信息采集和證據(jù)固化，制定合理安全配置加固策略，全面安裝智甲終端防御系統(tǒng)，實(shí)現(xiàn)所有終端安全策略加固、統(tǒng)一補(bǔ)丁安裝和全網(wǎng)查殺的處置流程。

應(yīng)急服務(wù)小組在協(xié)助用戶配置交換機(jī)鏡像設(shè)置后，通過探海發(fā)現(xiàn)了大量?jī)?nèi)網(wǎng)掃描和基于永恒之藍(lán)漏洞的攻擊流量，以及匹配到威脅情報(bào)規(guī)則標(biāo)記為礦池的域名連接請(qǐng)求，又通過拓痕應(yīng)急處置工具對(duì)感染主機(jī)進(jìn)行了掃描、對(duì)可疑文件與關(guān)聯(lián)信息進(jìn)行提取，結(jié)合用戶已采集安全日志和其他工具，協(xié)助用戶完成了證據(jù)固化。工程師初步判定出，這是一起WannaMine挖礦蠕蟲，通過永恒之藍(lán)漏洞，反復(fù)傳播感染事件。應(yīng)急服務(wù)小組根據(jù)預(yù)案，在嚴(yán)格執(zhí)行用戶“樣本文件不離場(chǎng)”的要求下，前后臺(tái)快速協(xié)同聯(lián)動(dòng)，在征得用戶同意后，僅將掃描發(fā)現(xiàn)的病毒名稱、樣本HASH等信息通報(bào)給我們的應(yīng)急響應(yīng)中心（以下簡(jiǎn)稱安天CERT），進(jìn)行分析支持和研判驗(yàn)證。我們從支撐平臺(tái)提取相同HASH的樣本，結(jié)合已有分析驗(yàn)證，在事件機(jī)理成因方面，與進(jìn)場(chǎng)服務(wù)小組作出完全一致的判斷：由于用戶側(cè)部署的原有殺毒軟件無法有效支持補(bǔ)丁升級(jí)、且沒有主機(jī)策略配置加固，導(dǎo)致病毒被清除后，會(huì)繼續(xù)通過漏洞重新打入，致使感染源始終存在，其中部分用戶終端在被永恒之藍(lán)漏洞攻擊中會(huì)藍(lán)屏。對(duì)此，應(yīng)急服務(wù)小組基于全網(wǎng)終端安裝智甲和統(tǒng)一掃描，并部署智甲軟件管理中心，全面提取了相關(guān)信息，分析確認(rèn)了病毒最早的出現(xiàn)日期，為用戶定位該批設(shè)備的最初感染源提供了信息支撐。

制定加固策略、分發(fā)安全補(bǔ)丁、查殺終端威脅該蠕蟲的傳播機(jī)理為：迅速利用EternalBlue（“永恒之藍(lán)”）漏洞在局域網(wǎng)內(nèi)傳播自身，形成更加龐大的挖礦網(wǎng)絡(luò)。該漏洞使用445端口傳播，對(duì)應(yīng)補(bǔ)丁為MS17-010。如果主機(jī)沒有安裝相應(yīng)補(bǔ)丁或關(guān)閉相關(guān)端口，則無法阻擋該病毒在內(nèi)網(wǎng)中的滲透?jìng)鞑?。根?jù)智甲檢測(cè)日志，出現(xiàn)病毒感染、藍(lán)屏等故障的主機(jī)均未安裝MS17-010補(bǔ)丁。

應(yīng)急服務(wù)小組調(diào)研了用戶現(xiàn)有業(yè)務(wù)系統(tǒng)所采用的通訊端口、協(xié)議等情況，對(duì)用戶將端點(diǎn)做了初步分組，對(duì)默認(rèn)安全策略模板（參考STIG標(biāo)準(zhǔn)）進(jìn)行了部分定制調(diào)整。之后借助管理中心啟動(dòng)了補(bǔ)丁統(tǒng)一分發(fā)、策略調(diào)整和統(tǒng)一查殺。經(jīng)工程師連夜不間斷奮戰(zhàn)，在到場(chǎng)六小時(shí)后將一百多臺(tái)染毒主機(jī)、全部完成了對(duì)應(yīng)補(bǔ)丁升級(jí)、安全策略加固和病毒查殺工作。

三、深度分析支持和支持歸零復(fù)盤

后端分析團(tuán)隊(duì)基于樣本HASH進(jìn)行了深度分析并于第一時(shí)間為用戶提供了WannaMine挖礦病毒樣本的詳細(xì)分析報(bào)告。（詳見附錄一）

在現(xiàn)場(chǎng)病毒情況得到控制的同時(shí)，該單位相關(guān)負(fù)責(zé)人希望我們能夠在其實(shí)驗(yàn)環(huán)境中復(fù)現(xiàn)該病毒的攻擊過程。工程師根據(jù)事發(fā)現(xiàn)場(chǎng)的情況搭建了模擬環(huán)境，根據(jù)處置前固化的感染系統(tǒng)端點(diǎn)鏡像，模擬現(xiàn)場(chǎng)情況并恢復(fù)了相關(guān)環(huán)境，提供了探海檢測(cè)系統(tǒng)生成監(jiān)測(cè)日志、并進(jìn)行錄包，指導(dǎo)用戶通過Wireshark對(duì)數(shù)據(jù)包進(jìn)行解析觀察，在實(shí)驗(yàn)環(huán)境中復(fù)現(xiàn)了整體攻擊過程和具體故障表現(xiàn)，為用戶后續(xù)對(duì)事件進(jìn)行歸零復(fù)盤提供了依據(jù)。

應(yīng)急服務(wù)小組協(xié)助用戶完成最終判定，這是一起由第三方設(shè)備帶毒入網(wǎng)導(dǎo)致的安全事件，昭示出供應(yīng)鏈安全側(cè)的安全風(fēng)險(xiǎn)。

四、用戶評(píng)價(jià)

本次應(yīng)急事件處理完成后，我們受邀參加了該單位針對(duì)此事件的歸零報(bào)告評(píng)審會(huì)議，用戶對(duì)本次安全事件十分重視，單位領(lǐng)導(dǎo)對(duì)我們的應(yīng)急響應(yīng)處置能力、技術(shù)支持水平及智甲等產(chǎn)品的查殺和防御能力給予了高度評(píng)價(jià)，同時(shí)提出了和我們建立長(zhǎng)期的安全服務(wù)關(guān)系，并采購(gòu)了探海和智甲產(chǎn)品。

五、應(yīng)急處置方案及后續(xù)安全建議

5.1 應(yīng)急處置方案

我們的安全服務(wù)中心提示，通過智甲終端防御系統(tǒng)可以實(shí)現(xiàn)內(nèi)網(wǎng)端點(diǎn)系統(tǒng)統(tǒng)一補(bǔ)丁升級(jí)、安全加固策略配置和病毒統(tǒng)一查殺。

在沒有我們的智甲部署的情況下，遇到蠕蟲反復(fù)感染對(duì)應(yīng)問題的用戶建議采取以下緩解措施：

1) 對(duì)局域網(wǎng)內(nèi)的所有主機(jī)采取斷網(wǎng)操作。

2) 根據(jù)受感染終端的操作系統(tǒng)版本和相關(guān)病毒所使用功能的漏洞信息，安裝對(duì)應(yīng)的安全補(bǔ)丁

3) 在不影響用戶業(yè)務(wù)的前提下封堵445常見等傳播端口，通過殺毒工具進(jìn)行查殺。

4) 逐步恢復(fù)網(wǎng)絡(luò)并通過抓包工具確認(rèn)網(wǎng)內(nèi)是否存在惡意流量，并對(duì)全網(wǎng)終端安全狀態(tài)進(jìn)行確認(rèn)。

5.2 后續(xù)安全建議

本次事件主要是由于第三方廠家提供的設(shè)備帶毒入網(wǎng)后引起的病毒內(nèi)網(wǎng)傳播感染事故，是一起典型的由供應(yīng)鏈引起的病毒感染傳播事件，我們對(duì)用戶提出了后續(xù)安全建議：

1. 技術(shù)方面

1) 所有第三方提供的設(shè)備在入網(wǎng)前需進(jìn)行嚴(yán)格的上線檢測(cè)，至少應(yīng)采取安全配置檢查、惡意代碼檢測(cè)排查、漏洞修復(fù)以及配置加固等手段，對(duì)入網(wǎng)設(shè)備的安全合規(guī)性進(jìn)行嚴(yán)格審查。

2) 設(shè)備上承載的操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件及應(yīng)用等應(yīng)通過官方渠道或經(jīng)認(rèn)證的安全下載渠道獲取，避免通過非官方渠道獲取引入潛在的安全風(fēng)險(xiǎn)。

3) 針對(duì)已上線設(shè)備的應(yīng)用軟件、數(shù)據(jù)及系統(tǒng)的安裝與更新，應(yīng)建立內(nèi)部統(tǒng)一部署平臺(tái)，統(tǒng)一補(bǔ)丁源，實(shí)現(xiàn)驗(yàn)證留存，應(yīng)通過帶有惡意代碼檢測(cè)和安全驗(yàn)證機(jī)制的輔助檢測(cè)系統(tǒng)的擺渡中間機(jī)進(jìn)行數(shù)據(jù)交換。

4) 設(shè)備最終交付上線前，應(yīng)使用病毒防護(hù)軟件對(duì)其進(jìn)行全面病毒檢查，必要時(shí)需要安全專家協(xié)助，確保當(dāng)前設(shè)備的安全狀態(tài)后方可上線。

5) 因設(shè)備上線后的運(yùn)轉(zhuǎn)狀態(tài)相對(duì)穩(wěn)定，很少進(jìn)行更新和修改，應(yīng)配置白名單防御策略，為系統(tǒng)建立參考STIG標(biāo)準(zhǔn)的配置策略，保證系統(tǒng)上線后的運(yùn)行安全。

6) 建議依托專業(yè)的安全服務(wù)團(tuán)隊(duì)提升安全事件的應(yīng)急響應(yīng)能力。一旦出現(xiàn)安全問題，能夠在第一時(shí)間采取正確措施，為專業(yè)團(tuán)隊(duì)現(xiàn)場(chǎng)處置提供初步的威脅排查方法及處置建議。

2. 管理方面

1) 開展內(nèi)部與外部供應(yīng)鏈審查工作，政企機(jī)構(gòu)不僅需審查自身內(nèi)部的基礎(chǔ)架構(gòu)，還應(yīng)對(duì)供應(yīng)商及合作伙伴進(jìn)行審查。雖然內(nèi)部系統(tǒng)可能具有一系列安全措施用以阻止各種網(wǎng)絡(luò)攻擊，但第三方合作伙伴可能在此階段缺少有效的防御手段。因此，需要對(duì)軟硬件供應(yīng)商開展徹底審查工作，只有通過審查后才能將其提供的軟硬件、系統(tǒng)等集成至內(nèi)部基礎(chǔ)架構(gòu)中。

2) 在條件允許的情況下，用戶應(yīng)要求供應(yīng)商遵循最小暴露面的原則，制定相關(guān)流程、標(biāo)準(zhǔn)和法務(wù)協(xié)議，對(duì)用戶作出入網(wǎng)設(shè)備的明確的安全規(guī)格需求。協(xié)議應(yīng)要求供應(yīng)商及時(shí)通告任何內(nèi)部安全事件以及定期進(jìn)行安全報(bào)告，以確保其安全狀態(tài)，并培養(yǎng)供應(yīng)商開發(fā)人員安全意識(shí)，同時(shí)通過可信的正規(guī)渠道發(fā)布軟件產(chǎn)品，通過數(shù)字簽名認(rèn)證機(jī)制使軟件遭到外部篡改、病毒感染等攻擊等情況易于被發(fā)現(xiàn)。

3) 定期對(duì)用戶內(nèi)部員工及第三方供應(yīng)商開展安全培訓(xùn)工作，分享供應(yīng)鏈安全最佳實(shí)踐。

3. 安全產(chǎn)品和工具使用方面

1） 安天資產(chǎn)安全運(yùn)維平臺(tái)與智甲終端防御系統(tǒng)組合部署使用，可以實(shí)現(xiàn)統(tǒng)一內(nèi)網(wǎng)端點(diǎn)資產(chǎn)管理、統(tǒng)一內(nèi)網(wǎng)補(bǔ)丁分發(fā)升級(jí)、支持安全等級(jí)分組的模板化安全策略加固。

2） 智甲通過我們的下一代威脅檢測(cè)引擎可以精準(zhǔn)檢測(cè)海量病毒，對(duì)Rootkit、感染式病毒、掃描蠕蟲、宏病毒等困擾內(nèi)網(wǎng)用戶的事件有良好的處理效果。同時(shí)借助主防機(jī)制和分布式主機(jī)防火墻，能有效攔截針對(duì)端點(diǎn)的各種攻擊。

3） 基于探海威脅檢測(cè)系統(tǒng)部署，可以通過我們的下一代威脅檢測(cè)引擎精準(zhǔn)檢測(cè)惡意代碼傳播，可以及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)掃描、橫向移動(dòng)等攻擊動(dòng)作。

4） Antiy追影安全分析系統(tǒng)可以增加安全分析的深度，發(fā)現(xiàn)漏洞利用，呈現(xiàn)威脅行為，并生產(chǎn)可利用威脅情報(bào)。

5） Antiy拓痕處置工具可以針對(duì)主機(jī)系統(tǒng)進(jìn)行定期安全檢查、應(yīng)急檢查、證據(jù)固化和風(fēng)險(xiǎn)文件提取，進(jìn)行主機(jī)側(cè)的深度分析處置。

對(duì)規(guī)?；母邇r(jià)值信息資產(chǎn)防護(hù)，僅僅依靠產(chǎn)品組合使用無法保證安全，應(yīng)以疊加演進(jìn)模型，進(jìn)行能力導(dǎo)向的安全規(guī)劃建設(shè)，依次做好基礎(chǔ)結(jié)構(gòu)安全、縱深防御、態(tài)勢(shì)感知與積極防御、威脅情報(bào)等安全工作，建設(shè)動(dòng)態(tài)綜合安全防御體系。

附錄一：WannaMine蠕蟲樣本分析報(bào)告

安天CERT分析小組，根據(jù)應(yīng)急服務(wù)小組所提供的樣本HASH值，通過安天“賽博超腦”分析平臺(tái)提取了樣本進(jìn)行分析。通過對(duì)病毒樣本進(jìn)行逆向分析發(fā)現(xiàn)，其屬于WannaMine挖礦病毒的變種版本。WannaMine是一款旨在挖掘Monera加密貨幣的蠕蟲病毒。WannaMine變種會(huì)最大限度的利用CPU來挖掘Monera加密貨幣，使應(yīng)用程序以及系統(tǒng)崩潰。當(dāng)用戶感染W(wǎng)annaMine變種之后，WannaMine變種會(huì)迅速利用EternalBlue（“永恒之藍(lán)”）漏洞在局域網(wǎng)內(nèi)傳播自身，形成更加龐大的挖礦網(wǎng)絡(luò)。

表1樣本標(biāo)簽

一、 樣本傳播方式

圖 1 樣本傳播方式

樣本中spoolsv.exe（以下稱為spoolsv.exe_A）對(duì)EnrollCertXaml.dll進(jìn)行解密，得到wmassrv.dll。wmassrv.dll是主服務(wù)，會(huì)在C:\Windows\SpeechsTracing\Microsoft\目錄下生成NSA漏洞利用工具，在C：\Windows\System32\目錄下生成HalPluginsServices.dll。wmassrv服務(wù)啟動(dòng)后會(huì)調(diào)用HalPluginsServices.dll，HalPluginsServices.dll會(huì)啟動(dòng)spoolsv.exe_A。spoolsv.exe_A會(huì)對(duì)局域網(wǎng)進(jìn)行445端口掃描，確定可攻擊的內(nèi)網(wǎng)主機(jī)，然后啟動(dòng)挖礦程序以及漏洞攻擊程序svchost.exe和spoolsv.exe（另外一個(gè)病毒文件,以下稱為spoolsv.exe_B）；svchost.exe執(zhí)行“永恒之藍(lán)”漏洞對(duì)可攻擊的內(nèi)網(wǎng)主機(jī)進(jìn)行漏洞溢出攻擊，成功后spoolsv.exe_B（NSA黑客工具包DoublePulsar后門）在攻擊成功的主機(jī)上安裝后門，加載payload（x86.dll/x64.dll）；payload執(zhí)行后，負(fù)責(zé)將EnrollCertXaml.dll從本地復(fù)制到受害主機(jī)，再解密該文件，注冊(cè)wmassrv.dll為服務(wù)，啟動(dòng)spoolsv.exe_A執(zhí)行攻擊。

二、 樣本的危害范圍與危害程度

1. 樣本危害范圍

本次任務(wù)獲取的樣本利用了“永恒之藍(lán)”漏洞，該漏洞利用的操作系統(tǒng)平臺(tái)為windows，從該樣本釋放的載荷分析發(fā)現(xiàn)了針對(duì)32位和64位不同操作系統(tǒng)的執(zhí)行程序（X86.dll以及X64.dll），同時(shí)對(duì)樣本代碼進(jìn)行逆向分析發(fā)現(xiàn)，該樣本只會(huì)在局域網(wǎng)的同一網(wǎng)段上傳播，不會(huì)跨網(wǎng)段擴(kuò)散。（注：“永恒之藍(lán)”是美國(guó)國(guó)家安全局開發(fā)的漏洞利用程序，是方程式組織在其漏洞利用框架中的一個(gè)針對(duì)SMB服務(wù)進(jìn)行攻擊的模塊?！坝篮阒{(lán)”利用了MS17-010漏洞，該漏洞可以讓攻擊者在目標(biāo)系統(tǒng)上執(zhí)行任意代碼。2017年5月份爆發(fā)的WannaCry蠕蟲病毒便是利用“永恒之藍(lán)”進(jìn)行傳播的。）

spoolsv.exe_A運(yùn)行后會(huì)對(duì)C:\Windows\System32\EnrollCertXaml.dll進(jìn)行解密操作，解密后的文件wmassrv.dll會(huì)生成NSA漏洞利用工具集和HalPluginsServices.dll。

圖 2 漏洞攻擊工具集

spoolsv.exe_A會(huì)將wmassrv.dll注冊(cè)為服務(wù)。該服務(wù)由svchost.exe啟動(dòng)，啟動(dòng)后wmassrv.dll會(huì)注入到svchost.exe進(jìn)程中。

圖 3將wmassrv.dll注冊(cè)為服務(wù)

圖 4 服務(wù)wmassrv

spoolsv.exe_A會(huì)獲取主機(jī)IP，掃描主機(jī)所在的內(nèi)網(wǎng)網(wǎng)段（%d.%d.%d.*），判斷內(nèi)網(wǎng)中是否有主機(jī)開啟了445端口。如果發(fā)現(xiàn)局域網(wǎng)內(nèi)有主機(jī)開啟了445端口,就將相應(yīng)的IP地址和端口號(hào)寫入到“永恒之藍(lán)”攻擊程序svchost.exe的配置文件svchost.xml中。然后spoolsv.exe_A啟動(dòng)svchost.exe（“永恒之藍(lán)”攻擊程序）對(duì)局域網(wǎng)內(nèi)的主機(jī)進(jìn)行攻擊，同時(shí)將行為特征記錄到stage1.txt。

圖 5 掃描局域網(wǎng)內(nèi)主機(jī)

“永恒之藍(lán)”漏洞利用程序攻擊結(jié)束之后，spoolsv.exe_A會(huì)修改DoublePulsar后門程序spoolsv.exe_B的配置文件spoolsv.xml，然后啟動(dòng)spoolsv.exe_B（NSA黑客工具包DoublePulsar）安裝后門程序，同時(shí)將行為特征記錄到stage2.txt。

圖 6 將攻擊記錄到stage2.txt

wmassrv.dll生成的NSA漏洞利用工具集中包含payload文件x86.dll和x64.dll，spoolsv.exe_B會(huì)根據(jù)受害主機(jī)的操作系統(tǒng)執(zhí)行不同的payload。payload執(zhí)行后，會(huì)將EnrollCertXaml.dll復(fù)制到受害主機(jī)，然后將wmassrv.dll安裝為服務(wù)。服務(wù)安裝后，可以啟動(dòng)spoolsv.exe_A,進(jìn)行新一輪的漏洞利用與payload加載。

2. 樣本危害程度

WannaMine變種沿用WannaMine的傳播方式，利用了MS17-010漏洞的便利，使用“永恒之藍(lán)”漏洞利用程序在局域網(wǎng)中迅速傳播，導(dǎo)致局域網(wǎng)中的主機(jī)都在挖礦。WannaMine變種的礦池站點(diǎn)仍然指向nicehash.com、minergate.com。

相關(guān)樣本攻擊載荷落地后會(huì)即時(shí)發(fā)起攻擊，沒有潛伏期。在實(shí)驗(yàn)環(huán)境復(fù)現(xiàn)的過程中，被攻擊主機(jī)的現(xiàn)象也是即時(shí)發(fā)生的，繼而驗(yàn)證了病毒的即時(shí)發(fā)作特性。同時(shí)，局域網(wǎng)主機(jī)感染了該挖礦病毒后會(huì)相互進(jìn)行永恒之藍(lán)漏洞攻擊，漏洞利用過程中使用了堆噴射技術(shù)，因此一定概率會(huì)導(dǎo)致漏洞利用失敗導(dǎo)致被攻擊主機(jī)藍(lán)屏重啟等現(xiàn)象。