在2017年5月的WannaCry爆发期间,研究人员第一次注意到“永恒之蓝(Eternal Blue)”漏洞。而在1年多之后,研究人员仍然发现在亚洲有许多未得到修复的设备开始被各类恶意软件利用此漏洞进行分发感染。PHP大马
EternalBlue是一种SMBv1漏洞利用程序,它能够通过易受攻击的Windows服务器消息块(SMB)文件共享服务触发远程代码执行(RCE)攻击。负责此次攻击的安全漏洞CVE-2017-0144在2017年3月由微软修补,但许多系统仍未更新,仍易受攻击。
此次攻击事件的主角是NRSMiner更新版本,这是一种旨在窃取计算资源以挖掘加密货币的恶意软件。NRSMiner利用XMRig Monero挖掘机劫持受感染系统的CPU,以挖掘Monero(XMR)加密货币。
攻击事件回顾
从2018年11月中旬开始,安全研究机构F-Secure的遥测报告显示,最新版本的NRSMiner加密矿工恶意软件(利用永恒之蓝漏洞分发到本地网络中易受攻击的系统)正在亚洲积极传播。其中受感染最严重的国家是越南,值得注意的是,其最新一波袭击事件也包括中国、日本和厄瓜多尔在内的世界各国。
NRSMiner遥测统计数据(2018年11月至12月)
除了将加密矿工下载到受感染的计算机上外,NRSMiner还可以下载更新模块以供升级,并删除其先前版本安装的文件和服务。
F-Secure研究员分析了最新版本的NRSMiner是如何感染系统,以及如何发现新的易受感染目标的。此外,应对方案建议、妥协指标(IOCs)和SHA1在文末同样列出。天天好彩
NRSMiner感染方式
最新版本的NRSMiner有两种方法可以感染系统:
1.通过将更新程序模块下载到已感染旧版NRSMiner的系统上;
2.如果系统未打补丁(MS17-010),则内网中的另一个系统会被NRSMiner感染。
妥协指标(IOCs)
Sha1s:
IP地址:
URLs:
总结
NrsMiner构造精密,能够有效完成持久化、集中管理、自我更新等多种功能,其危害不容小觑。其能够长期潜伏在受害计算机中,并主动攻击网络内其他机器。而且,NrsMiner此次攻击的目标大多位于亚洲,中国也已包含在内,因此值得我们关注并及时防范。其能够影响区域内网中的多台设备的特性也让政府部门、公司企业等机构格外需要注意防范。
应对方案建议:
对windows系统的用户来说,使用软件更新程序或任何其他可用的工具来识别端点,而不使用微软发布的安全补丁(4013389),并立即对其进行修补。
根据Microsoft 针对WannaCrypt攻击的客户指南中提供的指导,为windos系统安装相关的修补程序。
如果无法立即对其进行修补,研究人员建议用户使用Microsoft 知识库编号2696547文章中记录的步骤禁用SMBv1功能,以减少攻击面。
针对旧版本NrsMiner加密矿工的完整清除过程如下,须在断网情况下进行(但对更新版本是否有效尚不得而知):
1.停止并禁用Hyper-VAccess Protection Agent Service服务;
2.删除C:\Windows\system32\NrsDataCache.tlb;
3.删除C:\Windows\system32\vmichapagentsrv.dll,若删除失败,可重命名该文件为其他名称;
4.重启计算机;
5.删除C:\Windows\system32\SysprepThemes\和C:\Windows\SysprepThemes\目录;
6.删除C:\Windows\system32\SecUpdateHost.exe。
7.到微软官方网站下载对应操作系统补丁,下载链接如下:https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2017/ms17-010
8.安装国内主流杀毒软件,及时更新至最新病毒特征库。
426
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
