近期，多款熱門病毒變種正在利用永恒之藍漏洞進行蔓延，威脅程度達到高危，影響范圍廣泛。深信服緊急預警，提醒廣大用戶做好安全防護措施！

病毒分析

    近期出現的利用永恒之藍漏洞的多款病毒包括：Satan勒索病毒變種、WannaMine挖礦變種、PowershellMiner無文件挖礦變種以及WannaCry勒索2.0藍屏變種。

Satan勒索變種

    用戶一旦遭受Satan勒索變種攻擊，重要文檔和數據庫文件均可能被加密，并被勒索0.3個比特幣。Satan勒索變種攻擊過程如下：

其中：

• st.exe是母體，執行后會下載ms.exe和Client.exe。
• ms.exe是一個自解壓文件，包含的blue.exe和star.exe執行永恒之藍漏洞攻擊。
• 一旦攻擊成功后，star.exe加載payload（down64.dll），負責下載并運行st.exe。
• Client.exe是Satan勒索病毒，執行文件加密操作，并彈出勒索信息。
• 每感染一臺后，都會重復執行1、2、3、4步驟，在局域網進行擴散。

WannaMine挖礦變種

WannaMine挖礦變種會造成用戶服務器和PC異?？D，消耗主機大量CPU資源。其攻擊過程如下：

• srv是主服務，每次都會進行開機啟動，啟動后加載spoolsv。
• WannaMine挖礦變種2.spoolsv對局域網進行445端口掃描，確定可攻擊的內網主機。同時啟動挖礦程序hash、漏洞攻擊程序svchost.exe和spoolsv.exe。
• svchost.exe執行永恒之藍漏洞溢出攻擊（目的IP由步驟2確認），成功后spoolsv.exe(NSA黑客工具包DoublePulsar后門）安裝后門，加載payload（x86.dll/x64.dll）。
• payload（x86.dll/x64.dll）執行后，負責將MsraReportDataCache32.tlb從本地復制到目的IP主機，再解壓該文件，注冊srv主服務，啟動spoolsv執行攻擊。
• 每感染一臺，都重復步驟1、2、3、4，在內網擴散。

PowershellMiner無文件挖礦變種

PowershellMiner挖礦變種沒有本地惡意文件，用戶難以發覺，往往能夠消耗主機90.0%以上CPU資源，造成主機性能異?？D。其攻擊順序如下：

• 首先，挖礦模塊啟動，持續進行挖礦。
• 其次，Minikatz模塊對目的主機進行SMB爆破，獲取NTLMv2數據。
• 然后，WMIExec使用NTLMv2繞過哈希認證，進行遠程執行操作，成功則執行shellcode使病原體再復制一份到目的主機并使之運行起來，流程結束。
• 最后，如果WMIExec攻擊失敗，則嘗試使用MS17-010永恒之藍漏洞攻擊，成功則執行shellcode使病原體再復制一份到目的主機并使之運行起來。
• 每感染一臺主機，都重復步驟1、2、3、4，在內網進行擴散。

WannaCry勒索2.0藍屏變種

該勒索變種并不會勒索成功，但由于漏洞利用不當，常常導致主機藍屏崩潰。在服務器場景下，對企業業務影響極大。

此變種是WannaCry的2.0版本，2018年仍然十分活躍。之前的版本會釋放勒索程序對主機進行勒索，但此變種的勒索程序在主流Windows平臺下運行失敗，無法進行勒索操作。但如果內網中多個主機感染了該病毒，病毒會互相之間進行永恒之藍漏洞攻擊，該漏洞的利用使用堆噴射技術，該技術漏洞利用并不穩定，有小概率出現漏洞利用失敗，在利用失敗的情況下，會出現被攻擊主機藍屏的現象。

深信服應對建議

針對廣大用戶，建議進行日常防范措施：

• 不要點擊來源不明的郵件附件，不從不明網站下載軟件；
• 及時給主機打上永恒之藍漏洞補丁，修復此漏洞；
• 對重要的數據文件定期進行非本地備份；
• 盡量關閉不必要的文件共享權限以及關閉不必要的端口，如：445,135,139,3389等。

針對使用深信服產品的用戶，深信服緊急響應，及時為用戶提供解決方案：

• 深信服下一代防火墻已支持阻斷針對永恒之藍漏洞的各種熱門攻擊。下一代防火墻用戶升級僵尸網絡識別庫到20180407及以上版本，升級病毒庫到20180406及以上版本即可。
• 深信服安全感知產品的用戶，可直接探測永恒之藍漏洞攻擊的移動情況和內網安全狀況。

• 深信服終端檢測響應平臺（EDR）提供端點防護和病毒清理功能，EDR的用戶可以直接有效地清除相關病毒。

• 使用深信服立體防護解決方案的用戶無需擔心，通過深信服下一代防火墻+安全感知+EDR，三者相互聯動響應，實現邊界到終端的完整防護、檢測和響應，有效應對永恒之藍漏洞攻擊。