Wmixml新型挖礦病毒預警已有企業被成功滲透

■朱榮

■朱榮

近日，千里目安全實驗室EDR安全團隊接到某企業反饋，稱其內網大量服務器存在挖礦問題，且難以清理干凈。經過深入分析，發現這是一種新型的挖礦病毒，屬全國首例，其病毒機制與常規挖礦相差很大。EDR安全團隊在持續追蹤后發現了病毒入侵途徑，已將此病毒命名為Wmixml挖礦病毒，同時制定了詳細的應對措施。

病毒簡介

不同于常規挖礦病毒，wmixml的挖礦功能體以密文文件的形式存在而不是常規的獨立exe。感染主機后，會有一個加載病毒體dll，在被系統進程svchost.exe加載后，讀取挖礦密文文件，在內存中解密后再將挖礦原體注入到另外一個系統進程svchost.exe中。由于解密動作發生在內存中，目前已繞過了大量殺毒引擎，達到了免殺的目的。

攻擊場景

此次攻擊可謂有備而來，在繞開殺毒軟件的思考上做足了功夫。

如圖，appmg.dll是加載病毒體(system32 目錄下)，負責加載挖礦功能。wvms_dp.inf是挖礦密文數據，即其二進制是經過特殊加密處理的，不能直接被執行。由于密文文件不是pe格式等可執行文件，殺毒軟件自然掃描不出來。此外，為了保證免殺效果，又將解密后的挖礦病毒體注入到系統進程中執行。

攻擊順序如下：

首先，當appmg.dll第一次被加載時，會注冊svchost服務，后續則通過系統進程svchost.exe實現開機自啟動。

其次，appmg.dll被加載后，會讀取wvms_dp.inf文件數據，進行解密。

然后，將解密后的wvms_dp.inf數據（即挖礦二進制模塊）注入到新啟動的svchost.exe進程里面。

最后，注入成功后的系統進程svchost.exe具備了挖礦功能，從wmixml.dat中讀取挖礦配置信息，進行挖礦。

溯源分析

以上是病毒的運作原理。但病毒從哪里來？EDR安全團隊了解獲知，該企業有不少于十臺的服務器中招，但追蹤逆向的結果顯示，此挖礦病毒并不具備橫向傳播能力，因此初步分析是內網某臺服務器被滲透。

與預想的一致，該企業確實有一臺對外的Web服務器，而其它的服務器都處在內網環境。安全團隊從此臺Web服務器入手，使用EDR WebShell查殺工具進行掃描，發現了大量的網頁木馬。

此外，分析發現，還存在一個可以遠程執行任意命令的木馬，由此斷定此Web服務器已完全淪陷。

被滲透成功后的Web服務器上，安全團隊發現了與wmixml挖礦相關的病毒體。由于該Web服務器被完全控制，黑客甚至開了一個具備系統權限的新賬號SystemD，由此在內網撕開一個口子，進行任意攻擊。

危害與啟示

wmixml挖礦病毒的危害是顯而易見的，即長期壓榨受害者主機性能，為黑客默默賺外快。此外本次安全團隊發現wmixml挖礦病毒在隱蔽性方面做的非常高明。一般的挖礦，通常會盡可能多的壓榨受害者CPU，使之長期達到80%以上的占用率。但這個作者，卻嚴格限制并穩定在25%的CPU占用率。

在此限制下，由于占用率不是太高，一般用戶難以察覺系統已出問題。

另外，黑客深知普通挖礦程序可以被殺毒軟件查殺出來。為了避免被殺，黑客對挖礦程序進行了特殊加密，并將解密后的挖礦代碼注入到系統進程中（僅僅只在內存中，安全團隊才能觀察到挖礦字符特征）。通常來說，殺軟不敢輕易對系統進程下手，病毒因此有了免死金牌！

解決方案

1.隔離感染主機：已中毒計算機請盡快隔離，關閉所有網絡連接，禁用網卡；

2.確認感染數量：推薦使用防火墻或者安全感知進行全網檢測，避免病毒持續潛伏；

3.查殺病毒：推薦使用僵尸網絡查殺工具；

4.修補漏洞：如果內網使用了JBoss，請確認好版本并修補相關漏洞；

5.修改密碼：如果主機賬號密碼比較弱，建議重置高強度的密碼。