安恒EDR：WannaMine3.0挖矿病毒与感染型病毒案例分析

信息安全事件时时刻刻都在全国各地发生，而近期安恒EDR团队接到最多的消息，要数挖矿病毒与感染型病毒。安恒EDR通过针对挖矿病毒“杀不死”特性的免疫引擎、针对感染型病毒更新的强力修复模块，成功处理数起相关安全事件。以下为其中典型案例分析。

11月22日，安徽淮南某医院主机出现蓝屏、卡慢现象，部署安恒APT后检测到大量主机利用SMB远程溢出攻击漏洞（MS-17010），对内网主机尝试SMB远程命令执行且成功事件。

经EDR初步扫描与人工分析得知感染病毒为“WannaMine3.0”，基于“WannaMine”家族，利用SMB漏洞（MS-17010），传播机制、原理与“WannaCry”病毒一致。针对其不断复制、普通工具无法隔离、删除等特征，通过部署EDR，使用病毒引擎和免疫引擎，配合“三步走”操作可有效处理。三步走操作如下：

Step1：通过EDR的漏洞管理功能对主机进行漏洞扫描并“一键修复”。

Step2：通过EDR的病毒查杀功能对主机进行病毒查杀并“立即隔离”，对病毒进行强力隔离。强力隔离区别于普通隔离，可强行终止并隔离运行中的病毒相关文件。

Step3：开启相关防护模块，从系统、网络、Web应用等多方面进行实时监测与防护，对系统进行一体化完整防御。

很巧合的是同一家单位，在处理完WannaMine3.0之后少数主机发现感染“Virus.Sality!1.A5BD”。

此类病毒会感染系统中所有正在运行的二进制程序，通过修改PE文件结构中的节信息，将恶意代码写入正常的二进制程序，这些二进制程序运行后，又会去感染其他二进制，周而复始。由于已被感染的二进制可能遍布在所有磁盘分区，就算重新安装系统也无法彻底清除，除非格式化整个硬盘。EDR已做出针对此病毒的强力修复模块，可从被感染的正常文件中剔除恶意代码后，修复PE头信息，并保证原先的二进制程序功能正常。

• 范渊荣膺第三届“杰出工程师青年奖”

• 2018军工网络安全攻防演练落幕：安恒信息勇夺第一

• 安恒信息领跑国内态势感知市场