网络安全 | 挖矿病毒WannaMine升级重来

近日，安全团队截获WannaMine挖矿病毒最新变种文件，该变种文件基于WannaMine3.0改进，加入了一些新的免杀技术，其传播机制与WannaCry勒索病毒一致，可在局域网内通过SMB快速横向扩散，将其命名为WannaMine 4.0，其检测名为Coinminer.Win64.TOOLXMR.AR。

WannaMine 4.0技术细节分析

此次攻击流程与WannaMine3.0类似，其涉及的病毒模块多，感染面广，关系复杂。

原始“压缩包”rdpkax.xsl含有攻击需要的所有组件，其是一个特殊的数据包，需要病毒自己解密分离出各个组件，其组件包含“永恒之蓝”漏洞攻击工具集（svchost.exe、spoolsv.exe、x86.dll/x64.dll等）。

攻击流程：

4.payload（x86.dll/x64.dll）执行后，复制rdpkax.xsl到目标主机，解密后注册主服务，进行新的攻击，每一台被攻击机器都重复着同样的攻击流程。

与WannaMine3.0不同的是，该变种使用了服务文件名称和内容的随机行来进行免杀，进而payload文件与之前版本相比也发生了变化。主服务的命名规则为“字符串1+字符串2+字符串3”,如上面提及的RemoteTimeHost，即Remote+Time+Host。

字符串1列表：Windows、Microsoft、Network、Remote、Function、Secure、Application

字符串2列表：Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP

字符串3列表：Service、Host、Client、Event、Manager、Helper、System

WannaMine4.0挖矿主体病毒文件为dllhostex.exe，负责挖取门罗币。

如何防范

作为区块链的技术人员，我们提供以下防范措施：

1.利用系统防火墙高级设置阻止向445端口进行连接（该操作会影响使用445端口的服务）。

2.尽量关闭不必要的文件共享；

3.采用高强度的密码，避免使用弱口令密码，并定期更换密码；

4.打开系统自动更新，并检测更新进行安装；

5.系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序。

本文内容由 曲速未来 安全咨询公司整理编译，转载请注明。 曲速未来提供包括主链安全、交易所安全、交易所钱包安全、DAPP开发安全、智能合约开发安全等相关区块链安全咨询服务。