龙空技术网

通过永恒之蓝漏洞感染15万台主机,对于新型挖矿病毒WnSrvMiner的预警与处置建议

深圳网警 331

前言:

目前朋友们对“永恒之蓝漏洞攻击”都比较着重,我们都想要分析一些“永恒之蓝漏洞攻击”的相关内容。那么小编同时在网络上收集了一些对于“永恒之蓝漏洞攻击””的相关文章,希望兄弟们能喜欢,兄弟们一起来了解一下吧!

近日,出现一种通过永恒之蓝漏洞的新型病毒(WmSrvMiner)。该病毒通过感染主机设备进行挖矿,主要表现为异常卡顿,严重影响主机性能和业务正常运行。目前,据第三方机构推测,感染主机数量超过15万。请各重点单位注意加强主机设备安全防护,提醒职工不点击来源不明的邮件以及附件,预防感染该病毒。关于新型挖矿病毒WnSrvMiner的紧急预警与处置建议。

深圳市网络与信息安全信息通报中心

二、 事件信息(一) 事件概要

事件名称 WnSrvMiner新型挖矿病毒

威胁类型 挖矿病毒

威胁等级 高

受影响系统及应用版本

开启了135,139,445端口SMB网络共享协议的Windows系统(包括个人版和服务器版)。

(二)漏洞描述

WmSrvMiner利用永恒之蓝漏洞进行渗透攻击,在主机中伪装为svchost.exe,通过连接下载横向传播的攻击工具,并按照C2站点的命令执行挖矿程序。该病毒集成多种病毒模块,查杀难度较高,因此极易导致内网横向传播扩散。

(三)影响范围

开启了135、139、445端口或SMB网络共享协议的Windows系统(包括个人版和服务器版)。

三、 处置建议(一)排查方案

1.检查系统是否打上了最近系统漏洞补丁包;

2.检查系统是否开启了445端口的SMB网络共享协议,或者不必要的共享端口;

3.检查内网是否有主机访问;

3.检查系统是否存在异常运行的svchost.exe;

4.检查系统C:\Windows\security\IIS文件目录是否存在永恒之蓝(Eternalblue.dll)、永恒浪漫(mance.exe)等攻击程序。

(二)解决方案

1.隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡;

2.切断传播途径:关闭潜在终端的445等网络共享端口,关闭异常的外联访问;

3.查找攻击源,确认感染数量:手工抓包分析或借助态势感知类产品分析,确认全网感染数量;

4.查杀病毒:可使用以下工具进行查杀();

5. 在网络出口封堵访问,阻止恶意程序下载攻击组件;

6.提高密码难度:如果主机账号密码为简单密码,建议重置高强度的密码。

四、 应急处置建议

一旦发现系统中存在漏洞被利用的情况,要第一时间上报我中心(电话:84452816),同时开展以下紧急处置:

1.是立即断开被入侵的主机系统的网络连接,防止进一步危害;

2.是留存相关日志信息;

3.是通过“解决方案”加固系统并通过检查确认无相关漏洞后再恢复网络连接。

网警提醒:请各重点单位注意加强主机设备安全防护,提醒职工不点击来源不明的邮件以及附件,预防感染该病毒。

标签: #永恒之蓝漏洞攻击