一场说走就走的“应急”行动——某石化公司遭挖矿病毒熏染后的48小时

宣布时间 2019-05-23

5月10日22:00

“滴铃铃铃~~~”抖圈为赌而生工业互联网事业部工程师的电话响起！

“我们两套横河DCS系统的操作员站、工程师站和OPC服务器的主机突然蓝屏！重新启动系统后，仍然无法恢复，寻求紧急技术援助！”

来自某石化公司仪控部的事情人员电话里的声音异常急促……

解决客户的网络宁静问题，就是我们的使命！

抖圈为赌而生工业互联网宁静事业部联合抖圈为赌而生集团旗下辰信领创公司立即组建5人专项小组，业务、技术、产物线人员火速开启救援行动，远程指导客户进行系统救援及�；は殖〔《狙臼�。

5月11日凌晨1:00

救援事情争分多秒，历经3个小时的远程支持后，基本确定事件原因为MsraMiner病毒熏染。

远程支持连续进行，但现场情况比力特殊，考虑到工控系统的庞大性及DCS系统的专业性，应急团队决定乘坐当日最早航班飞往客户现场。

5月11日早6:40

妥妥地一场说走就走的应急服务。

经过48小时的不懈努力，系统得到了修复，客户的生产完全恢复了正常。客户给应急团队发来了真诚的谢谢信，并邀请商讨后期的加固措施与合作。

事件分析

凭据对检察现场环境以及系统中数据分析，网络中的主机确认为MsraMiner挖矿病毒的变种病毒熏染，此挖矿病毒利用“永恒之蓝”漏洞进行流传，在流传过程中，由于在Windows XP系统上漏洞利用失败，导致机器蓝屏。其病毒破坏原理为：

挖矿病毒MsraMine最新变种的病毒母体运行后释放服务模块，释放的服务模块名称随机拼凑，生成XXX.dll，服务名称和释放的服务dll文件名称相同。

病毒服务名字会凭据生成的dll名字命名，但是其描述一般都为Enable a commin infterace and object xxxx病毒文件，并将攻击C:\Windows\NetworkDistribution 目录下所有文件（攻击的主要文件），主挖矿文件C:\Windows\system32\dllhostex.exe（或其他被注入的svchost的子进程）。

另外特选择其中一个IP检察其全部会话，并对其连接端口进行统计，除445端口外，26931、45560端口连接量占比也相当可观，而且该端口不属于正常业务所需端口。随即对该主机的当地文件与进程进行视察和分析，发现大量恶意文件。经过分析判断，26931、45560两个端口分别为Webserver端口和矿池连接端口。其中Webserver提供相应组件下载，挖矿进程为“TrustedHostServices.exe”。

病毒的熏染流程为：受害主机某工程师站中的病毒法式包罗两部门，分别为攻击法式以及“挖矿”法式。其中攻击法式会释放出“永恒之蓝”法式，同时搭建web服务器，通过抖圈为赌而生的TSOC-NBA可以发现受害主机工程师站向受害主机操作员站以及OPC服务的445端口提倡攻击，被熏染病毒的主机向受害主机的web服务器26931端口提倡下载请求，

请求内容为MsraReportDataCache32.tlb，该法式会释放出攻击法式以及“挖矿”法式；同时，挖矿进程Trusted Host Services . exe进行挖矿，与矿池xmr.pool. minergate . com: 45560 建立连接，法式运行期间会访问相应的domain以进行法式更新与矿池连接，在连接失败后导致系统蓝屏。

解决方案

1、应急处置：手工清除

1) 安装抖圈为赌而生专有“永恒之蓝”补丁或使用附件中的热补丁工具；
2) 关闭445，139，135、3389等端口服务；
3) 删除描述为Enable a commin infterace and object xxxx的服务；
4) 删除此服务对应的动态链接库文件；
5) 结束svchost.exe进程（TaskIndexer.exe或dllhostex.exe进程的父进程）；
6) 结束TaskIndexer.exe或dllhostex.exe进程，并删除其文件；
7) 删除C:\Windows\NetworkDistribution目录下所有文件；
8) 安装杀毒软件保持防御开启，及时升级病毒库。

手动安装“永恒之蓝”漏洞补丁请访问以下页面：
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
http://www.catalog.update.microsoft.com/search.aspx?q=kb4012212

其中WinXP，Windows Server 2003用户请访问：
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

部门工具：
抖圈为赌而生的永恒之蓝热修复工具
抖圈为赌而生PChunter恶意软件手工检测工具

2、工控系统专业查杀工具

工业控制系统在防病毒建设上普遍存在：设备性能普遍偏低、windows老版本操作系统居多、硬件或业务软件在实施防病毒后不得受任何影响、防病毒软件必须能够有效防御病毒等问题，抖圈为赌而生为满足工控行业防病毒需求，研发出景云宁静能力轻量化工控防护版。接纳全程无驱动无hook、只扫不杀以及进程/网络白名单等切合工控环境的机制，资助工控企业在防御种种新型病毒和蠕虫的攻击的同时，能够兼顾工控设备的稳定运行，保障用户业务。

1) 集中管控：通过景云级联中控平台，提供可伸缩的跨平台病毒防护，集中管控各级种种泛终端，满足企业级用户对防病毒软件统一管理的需求。

2) 海量云查：可为用户按需定制云知识库，智能自运营云端病毒特征，使用户在拥有等同于公有云的病毒查杀能力的同时，又通过私有化的方式彻底杜绝数据泄露。

3) 智能鉴毒：将机器学习和大数据要领融入到防病毒系统中，能够为大型用户实现自动的样本捕捉、样天职类、样本特征提取、病毒库更新流程，以便能够快速响应互联网层出不穷的计算机病毒。

4) 强效性能：在降低用户终端资源消耗同时，结合人工智能和大数据技术，能使病毒查杀更迅速、更精准。能够有效防御最流行的病毒木马、黑客入侵和0day、APT等未知威胁，更有利于实施，更方便安装和维护。

5) 智能自学习：通过即时取样、历史数据分析、多规则合并等方式建立进程/网络白名单规则。在设定尺度设备之后，景云支持自动调整规则内容以适应业务系统升级造成的白名单列表扩容等需求，资助用户快速建立切合自身工控环境的白名单。

3、主机加固

接纳抖圈为赌而生的“天珣内网宁静风险管理与审计系统”，功效如图：

这只是众多应急响应事情中的一件，抖圈为赌而生始终将客户的宁静放在首位，在面对突发的网络宁静事件时，坚持以及时、专业、认真、高效的态度解决客户的问题，赢得了客户极大的信任。

宁静无小事
向奋斗在一线的应急服务人员致敬！

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

抖圈为赌而生

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系抖圈为赌而生

关于抖圈为赌而生

一场说走就走的“应急”行动——某石化公司遭挖矿病毒熏染后的48小时

关于抖圈为赌而生

解决方案

宁静研究

联系抖圈为赌而生

7*24小时服务热线