磁碟檔案只剩下”_”？你可能中了DeviceManager蠕蟲病毒

事件背景

近日，深信服終端安全團隊接到使用者反饋，共享盤下的檔案都神秘消失了，只剩下一個“_”資料夾：

經安全人員分析發現，此現象是感染了一種名為DeviceManager的蠕蟲病毒，該蠕蟲病毒不僅會修改防火牆的策略、感染網路磁碟進行傳播、感染本地壓縮檔案，還會訪問惡意網站下載並執行惡意檔案，由於病毒母體總以“DeviceManager”命名，因此被稱為DeviceManager蠕蟲病毒：

該蠕蟲內建了大量域名進行遍歷解析，直到其中一個仍活躍的域名解析成功，則嘗試下載其他惡意檔案。根據威脅情報查詢其中一個域名，建立時間為2021年5月份，說明該蠕蟲病毒很可能仍在繼續更新其惡意元件：

樣本分析

基本功能

1、對抗靜態檢測

使用了混淆和加密的方式，執行後會先對shellcode進行Tea解密，然後在記憶體中進行PE替換，替換掉原始的PE檔案，並修復DOS頭、匯入表等：

2、新增自啟動

透過寫入登錄檔實現開機自啟動：

3、修改安全策略

修改防火牆策略：

禁用Windows Defender：

禁用安全通知：

禁用系統還原：

傳播及感染

1、感染軟盤、網路磁碟，將軟盤、網路磁碟中的檔案隱藏在"_"資料夾下，透過寫入惡意快捷方式、autorun.inf檔案等形式引誘使用者執行木馬檔案；寫入DeviceManager.exe檔案，該檔案是木馬檔案，存放於"_"目錄下：

寫入autorun.inf檔案，自動執行路徑指向DeviceManager.exe檔案：

建立惡意快捷方式，命令列引數為"/c start _ & _\DeviceManager.exe & exit"，即開啟該快捷方式跳轉到"_"資料夾，同時執行DeviceManager.exe惡意檔案：

刪除根目錄下所有.lnk、.vbs、.bat、.js、.scr、.com、.jse、.cmd、.pif、.jar、.dll檔案：

將所有檔案存放至"_"資料夾：

2、透過感染本地壓縮包檔案、網路服務目錄下的exe檔案實現更大面積的傳播。

遍歷磁碟，感染zip、rar、7z、tar格式的檔案。

3、感染網路服務目錄下的所有exe檔案，網路服務目錄包括public_html、htdocs、httpdocs、wwwroot、ftproot、share、income。

網路功能

透過逐一連線程式中硬編碼的302個惡意域名，直到成功解析，然後下載執行其他惡意檔案和元件，部分惡意域名如下：

迴圈訪問域名下載惡意檔案：

解決方案

加固和防禦

1、關閉不必要的檔案共享；

2、使用安全軟體定期對主機進行全盤查殺，開啟檔案實時監控；

3、加強終端安全意識，不隨意下載不明檔案；

病毒查殺

深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力，部署相關產品使用者可進行病毒檢測，如圖所示：

1.深信服為廣大使用者免費提供查殺工具，可下載如下工具，進行檢測查殺。

64位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z 

32位系統下載連結：

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

2.深信服安全感知、下一代防火牆、EDR使用者，建議及時升級最新版本，並接入安全雲腦，使用雲查服務以及時檢測防禦新威脅；

3.深信服安全產品整合深信服SAVE人工智慧檢測引擎，擁有強大的泛化能力，精準防禦未知病毒；

4.深信服推出安全運營服務，透過以“人機共智”的服務模式幫助使用者快速提高安全能力。針對此類威脅，安全運營服務提供安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。