此類型「無擋案式攻擊」的攻擊手法如下:
- 通常透過攻擊「永恆之藍」資安弱點(Eternal Blue)開始;
- 執行惡意 PowerShell 腳本;
- 利用 Mimikatz 工具竊取使用者帳號密碼等資訊;
- 在受駭電腦記憶體中執行挖礦程式碼;
- 使用竊取來的帳號密碼感染其他電腦;
- 受害者感到電腦效能降低。
PowerShell 參數範例:
● powershell.exe -NoP -NonI -W Hidden -E JABzAHQAaQBtAGUAPQBbAEUAbgB2AGkAcgBvAG4AbQBlAG4AdABdADo…
● powershell.exe" -NoP -NonI -W Hidden "$mon = ([WmiClass] 'root\default:Office_Updater').Properties['mon'].Value;$funs = ([WmiClass] 'root\default:Office_Updater').Properties['funs'].Value…
另一個值得注意的地方是受害電腦的反應時間,挖礦程式會佔用電腦的資源,影響電腦的運行效能。
- CommandLineEventConsumer
- __EventFilter
- __FilterToConsumerBinding
- root\default:Office_Updater
Click image to enlarge
- 使用 Mimikatz 竊取帳號密碼後散佈至其他電腦;
- 如果竊取來的帳號密碼不正確,則藉由攻擊「永恆之藍」資安弱點(Eternal Blue)散佈至其他電腦;
Deep Discovery Inspector (DDI) 偵測永恆之藍弱點攻擊
趨勢科技解決方案
OfficeScan 行為監控模組
- 勾選「啟動惡意程式行為封鎖」;
- 勾選「啟動程式檢測,以偵測並封鎖遭到入侵的可執行檔」;
- 勾選「如果程式展現出與弱點攻擊有關的異常行為,請將其終止」
(註:此功能與微軟的「EMET」互斥,「EMET」安裝時,此功能即會關閉。)
Deep Discovery Inspector(DDI)
- 請更新並套用 Rule 2435:MS17-010 - Remote Cod Execution - SMB (Request)。此 Rule 可偵測一開始的惡意連線攻擊。
清除惡意程式方法
-
除了正式病毒碼可清除已知的「無擋案式病毒」以外,趨勢科技也針對此次攻擊提供緊急 DCT 病毒碼,請至此下載。
此病毒碼會掃瞄記憶體中的運行程序,如果偵測到惡意的 PowerShell 程序,則會將其終止並移除惡意 WMI 項目:
OfficeScan 偵測惡意 PowerShell
- 安裝修補永恆之藍資安弱點的修補程式:MS17-010。
- 修改遭感染電腦的使用這帳號密碼。
緊急處理方式
1. 從 autoruns 將 WMI 中的 DSM 開頭的項目取消勾選;
2. 從程序中,將佔用大量 CPU 資源的 PowerShell 程序停止;
3. 安排時間修補資安弱點 MS17-010;
4. 如非環境必須,建議移除 powershell script 這個系統預設安裝的功能。