查看原文
其他

【重大预警】亚信安全截获利用“永恒之石”传播的“伪装者病毒”

你信任的 亚信安全 2022-08-17

重大预警

近日,亚信安全截获“伪装者”病毒,该病毒伪装成微软厂商的文件,并通过“永恒之石”漏洞进行传播。其会在内网扩散,下载挖矿程序。亚信安全将其命名为TROJ_FRS.VSN07G18。


亚信安全详解“伪装者病毒”技术细节


伪装者病毒是由多个组件在内存中加密合并而成,其中包括常见的wmassrv.dll。合并前部分样本信息:



该病毒会在C:\Windows\RemoteDistribution\目录下创建Microsoft目录,该目录中包含大量“永恒之石”病毒的相关组件,“永恒之石”病毒利用的系统漏洞有:


  • Microsoft Security Bulletin MS08-067

  • Microsoft Security Bulletin MS10-061

  • Microsoft Security Bulletin MS14-068

  • Microsoft Security Bulletin MS17-010


该病毒在C:\Windows\RemoteDistribution\目录中生成spoolsv.exe文件,删除C:\Windows\RemoteDistribution\或者在该目录下建立同名文件会阻止该现象发生,但是一旦机器重新启动,病毒会删除并重新建立该目录,继续写入spoolsv.exe文件。spoolsv.exe文件会对内网进行arp扫描攻击其他机器的445端口等。



通过寻找其父进程的方法我们可以定位到是由svchost进程启动。



svchost由系统service服务启动,结合该病毒行为,我们可以确认该病毒有自启动行为,系统中存在自启动项目。我们首先查看该进程的导入模块以及线程,发现都带有微软厂商的标签。



使用autoruns工具也未能找到可疑的非系统启动项。说明可能有伪装成系统启动项的恶意模块。通过反复的查杀病毒,再生成,可以观察出某个线程的切换次数频率呈线性递增。



定位到该模块的路径。我们发现rpcpolicymgr.dll文件不仅伪装成微软厂商系统文件,还对文件的时间戳进行修改,进一步的隐藏自身。




通过查看Dump系统的进程模块信息,我们发现rpcpolicymgr.dll文件确实存在。



随后我们通过搜索注册表的键值,找到伪装者病毒的开机自启动项目。



该病毒具有蠕虫行为,可以自我复制传播:



亚信安全教你如何防范


  • 使用安全产品对已知病毒清理完毕后,可以通过系统审核日志的方式找到是由具体哪个svchost写入spoolsv.exe文件。

  • 随后终止该父进程svchost和子进程spoolsv,并删除C:\Windows\RemoteDistribution\目录下的所有文件。

  • 清除注册表中含有rpcpolicymgr字符的键值,并删除c:\windows\system32\rpcpolicymgr.dll文件。

  • 重新启动后验证是否清理干净。


亚信安全产品解决方案

亚信安全病毒码版本14.363.60已经可以检测,请用户及时升级病毒码版本。 


亚信安全Deep Security DPI规则可有效拦截该漏洞,规则如下:

  • 1003292 - Block Conficker.B++ Worm Incoming Named Pipe Connection

  • 1003080 - Server Service Vulnerability (srvsvc)

  • 1004401 - Print Spooler Service Impersonation Vulnerability

  • 1006397 - Microsoft Windows Kerberos Checksum Vulnerability (CVE-2014-6324)

  • 1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)

  • 1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE-2017-0146)

  • 1008227 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0147)

  • 1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)


亚信安全深度发现设备TDA检测规则如下:

  • OPS_MS08-067_Server_Service_Path_Canonicalization_Exploit - CVE-2008-4250

  • SMB_MS10-061_Print_Spooler_Service_Impersonation_Exploit - CVE-2010-2729

  • MS14-068_KERBEROS_Checksum_Vulnerability - CVE-2014-6324

  • MS17-010-SMB_REMOTE_CODE_EXECUTION_EXPLOIT - CVE-2017-0144, CVE-2017-0145, CVE-2017-0147



行业热点:


业务咨询极速达,区域大咖一键“撩”


2018上半年网络安全威胁大盘点


亚信安全助力生态环境部打造云安全防护体系 “环保云”造福于民


喜报 | 亚信安全 “移动虚拟化系统”入选工信部“2017年网络安全试点示范项目”

了解亚信安全,请点击“阅读原文

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存