挖矿病毒新变种MsraMiner让企业内网沦陷为“矿场”！

摘 要

最近这几天的币圈腥风血雨，从3月7日深夜，币安网发生黑客攻击事件，到11日币安网正式下发通缉令，25万美元等值赏金全球追缉黑客。各虚拟货币日趋火热，其中蕴含着巨大利益，不法网络分子利用病毒等恶意程序从中谋取暴利。2018年新年伊始，网御星云泰合北斗团队在某用户现场发现内网环境中68台主机感染病毒，沦陷为矿机进行挖矿，并疯狂的蔓延全网。网御星云北斗团队第一时间配合用户应急响应，通过泰合网络行为分析系统(以下简称Leadsec-NBA)发现挖矿恶意程序利用了“永恒之蓝”漏洞进行传播，并且病毒中包括一个很重要的名为MsraReportDataCache32.tlb的文件，因此泰合北斗将其命名为MsraMiner。

事件描述

1.事件初现

2018年3月6日，网御星云泰合北斗团队在Leadsec-NBA系统（Leadsec-NBA通过网络流量镜像或接收网络设备 FLOW数据，监控网络中的访问行为，对常见协议如HTTP/DNS/FTP/SMB等协议会话信息进行分析及展示）发现大量445端口连接告警，查看详细事件后，发现有68台主机设备对外攻击随机IP的445端口。

2. 调查分析

根据Leadsec-NBA系统中数据显示，网络中的主机很有可能感染了“WannaCry”类似的恶意程序，但是并未发现勒索和系统蓝屏等现象。特选择其中一个IP查看其全部会话，并对其连接端口进行统计，结果如下：

除445端口外，26931、45560端口连接量占比也相当可观，并且该端口不属于正常业务所需端口。随即对该主机的本地文件与进程进行调查和分析，发现大量恶意文件。

经过分析判断，上文中提到的26931、45560两个端口分别为Webserver端口和矿池连接端口。其中Webserver提供相应组件下载，挖矿进程为“TrustedHostServices.exe”。

3. 过程图

经分析病毒的感染流程如上图所示，受害主机A中的病毒程序包括两部分，分别为攻击程序以及“挖矿”程序。

其中攻击程序会释放出“永恒之蓝”程序，同时搭建web服务器，通过Leadsec-NBA可以发现受害主机A向受害主机B的445端口发起攻击，被感染病毒的主机B向受害主机A的web服务器26931端口发起下载请求，请求内容为MsraReportDataCache32.tlb，该程序会释放出攻击程序以及“挖矿”程序；

程序运行期间会访问相应的domain以进行程序更新与矿池连接；

解决方案

1. 查找病毒主机

通过Leadsec-NBA流追溯过滤出445端口连接的全部源IP，根据连接行为确认已感染恶意程序的主机。

2. 清除病毒

更新主机操作系统补丁，使用杀毒软件对系统主机进行全面查杀。

3. 持续监测

针对该攻击，Leadsec-NBA可以通过网络流量进行监测，及时察觉网络中存在的恶意程序。另外网御星云泰合安全管理平台（Leadsec-SOC）通过采集网络流量数据访问控制记录，配置相应的监测规则，也可以发现该威胁。

(1) Leadsec-NBA内置“可疑windows共享端口连接”规则，实时检测针对所有利用共享端口漏洞进行恶意连接的行为，并将恶意源IP加入到观察列表“扫描445_139_137端口主机列表”中。

(2) 监测步骤1的源主机发起的挖矿连接。发现源地址来自观察列表“扫描445_139_137端口主机列表”的主机，且目的端口为“矿池端口”的连接("矿池端口"为各矿池连接端口集合)。

相关IOC

结束语

永恒之蓝自2017年4月曝光，时至今日已接近1年，但是仍存在大量主机未修复对应的高危漏洞，同时也没有有效主动防御手段，导致攻击者顺利完成攻击意图。作为网络攻防空间中的被动方，必须提高安全意识，细化网络安全防护设备策略，同时建议部署流量监测分析设备，提升系统主动防御能力。从管理和技术两手抓，并对工作执行结果进行监督，保证和完善防护体系。

同时，网御星云泰合北斗将持续关注MsraMiner的最新动态，如有兴趣请关注后期文章。

关于网御星云泰合安全管理平台

网御星云作为中国信息安全行业的领航企业，拥有完整的信息安全技术、产品、解决方案和服务能力，已经成为政府、电信、金融、能源、交通、制造等领域内国内高端客户青睐的品牌。

网御星云专门成立了泰合产品本部负责大数据安全分析领域及泰合系列安全管理类、审计类和流安全分析类系统的研发、咨询、项目实施与运维。泰合产品本部分别在北京、上海、杭州、广州等地设有研发中心。

◆ 2017年，网御星云泰合安管平台成为首个进入Gartner SIEM魔力象限的中国安管平台产品。

◆ 根据赛迪报告，从2008年至今，网御星云泰合安管平台已经连续9年位居中国市场占有率第一名。

◆ 根据IDC的报告，从2015年至今，网御星云泰合安管平台已经连续2年位居中国市场占有率第一名。