事件背景
近日,深信服終端安全團隊接到使用者反饋,共享盤下的檔案都神秘消失了,只剩下一個“_”資料夾:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/6c86cde7cc8fc31986c26f4620a67e7181cc524d0711d9af9aaa9d544365e60e.png)
經安全人員分析發現,此現象是感染了一種名為DeviceManager的蠕蟲病毒,該蠕蟲病毒不僅會修改防火牆的策略、感染網路磁碟進行傳播、感染本地壓縮檔案,還會訪問惡意網站下載並執行惡意檔案,由於病毒母體總以“DeviceManager”命名,因此被稱為DeviceManager蠕蟲病毒:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/f5870c482b339b68daf918f8aa49c1c0fb8c16905053e3ca746732846d76e809.png)
該蠕蟲內建了大量域名進行遍歷解析,直到其中一個仍活躍的域名解析成功,則嘗試下載其他惡意檔案。根據威脅情報查詢其中一個域名,建立時間為2021年5月份,說明該蠕蟲病毒很可能仍在繼續更新其惡意元件:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/ca0d6ebcb352eaca380f76ab5a6b4256a893c909f695a5614c46cb54fe0c895f.png)
樣本分析
基本功能
1、對抗靜態檢測
使用了混淆和加密的方式,執行後會先對shellcode進行Tea解密,然後在記憶體中進行PE替換,替換掉原始的PE檔案,並修復DOS頭、匯入表等:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/040fa40552f3450e0dd100cd1e56f04c68cca171ff51ab285fec3afb9f592a2a.png)
2、新增自啟動
透過寫入登錄檔實現開機自啟動:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/e84b6e06c80c1cd3a92b7779516f108df9e496f580742e5200ded5337e2e46bc.png)
3、修改安全策略
修改防火牆策略:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/ebef6b4365a4ac7245892741b2494290ca2781ca09a32ade50a59059f9d18406.png)
禁用Windows Defender:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/b8c34443a9b1b3fb66af65204e7d4e7d151a472235bcd5f7f5e174b1c68469af.png)
禁用安全通知:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/621635071e730f9f67573083e3928ceb415862ad0bc5e6797039a2ed0ea73abd.png)
禁用系統還原:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/9dd388d2f5c5358c05150ba1d5f091a6fd0f15d0792a36bad5706a5b7f016e34.png)
傳播及感染
1、感染軟盤、網路磁碟,將軟盤、網路磁碟中的檔案隱藏在"_"資料夾下,透過寫入惡意快捷方式、autorun.inf檔案等形式引誘使用者執行木馬檔案;寫入DeviceManager.exe檔案,該檔案是木馬檔案,存放於"_"目錄下:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/35e332b55d0e1e687dc5bd57864b8aa4f6e1e3b2a39b81e192d6914bb6f02fed.png)
寫入autorun.inf檔案,自動執行路徑指向DeviceManager.exe檔案:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/4ce8848e333adb4d380e47d99ffcedfaa8e152c7f416aae21700e7333415041b.png)
建立惡意快捷方式,命令列引數為"/c start _ & _\DeviceManager.exe & exit",即開啟該快捷方式跳轉到"_"資料夾,同時執行DeviceManager.exe惡意檔案:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/b556db15279f333032e5be228a9942c8fafe699210dc3309192c6aff5a3aeb64.png)
刪除根目錄下所有.lnk、.vbs、.bat、.js、.scr、.com、.jse、.cmd、.pif、.jar、.dll檔案:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/f9060aaa739fd8732f65b9f2d66eb5f43e40ad4444f580935557efa8d23faf25.png)
將所有檔案存放至"_"資料夾:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/9c9757c9944741e67f2089a869cfa08d0bab42c8526724301bca27e39516cd9c.png)
2、透過感染本地壓縮包檔案、網路服務目錄下的exe檔案實現更大面積的傳播。
遍歷磁碟,感染zip、rar、7z、tar格式的檔案。
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/eb0c6e833b90d3db395d2f4e1d6e079bcc1581ae739236705ed407d0dcf00367.png)
3、感染網路服務目錄下的所有exe檔案,網路服務目錄包括public_html、htdocs、httpdocs、wwwroot、ftproot、share、income。
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/5b9bed5f75abbc651b0db10b97e3fef563be305eea977b17775eb1c20d3a4e88.png)
網路功能
透過逐一連線程式中硬編碼的302個惡意域名,直到成功解析,然後下載執行其他惡意檔案和元件,部分惡意域名如下:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/8d63fa2a8ea6bdb2c8ae48aa97b0179758ae9ee6f895bd9a0148209c5d5bbe4c.png)
迴圈訪問域名下載惡意檔案:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/152349d4b2daa7b42ef9c06cff9cee08b0d13c6cebe5d60cc1752e787522e85e.png)
解決方案
加固和防禦
1、關閉不必要的檔案共享;
2、使用安全軟體定期對主機進行全盤查殺,開啟檔案實時監控;
3、加強終端安全意識,不隨意下載不明檔案;
病毒查殺
深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測,如圖所示:
![磁碟檔案只剩下”_”?你可能中了DeviceManager蠕蟲病毒](https://i.iter01.com/images/16595b814f0d1280d0deb9a35ef53e088ef7e77492e1594f1424ade36c09d1b7.png)
1.深信服為廣大使用者免費提供查殺工具,可下載如下工具,進行檢測查殺。
64位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z
32位系統下載連結:
http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z
2.深信服安全感知、下一代防火牆、EDR使用者,建議及時升級最新版本,並接入安全雲腦,使用雲查服務以及時檢測防禦新威脅;
3.深信服安全產品整合深信服SAVE人工智慧檢測引擎,擁有強大的泛化能力,精準防禦未知病毒;
4.深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅,安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。