自從2017年wannacry勒索者病毒全球爆發，涉及全球180多個國家，至少30萬用戶中招，全球造成數十億美元損失，中國也有將近三萬家企事業單位收到了感染；同年瑞士Modzero公司發現在惠普的音頻驅動中存在著記錄用戶操作的鍵盤記錄器；歐洲某石油化工廠的咖啡機中勒索病毒并傳播到工廠的PLC控制系統；

2018年2月23日，湖北襄陽南漳縣人民醫院被植入“升級版勒索病毒”，要求醫院支付比特幣才能正常使用。

2018年8月3日，臺積電（臺灣集成電路制造股份有限公司）12英寸晶圓廠和營運總部，突然傳出電腦遭病毒入侵且生產線全數停擺的消息，幾個小時之內，臺積電位于臺中科學園區的Fab 15廠，以及臺南科學園區的Fab 14廠也陸續傳出同樣消息，臺積電在臺灣北、中、南三處重要生產基地同步因為病毒入侵而導致生產線停擺，而這次攻擊臺積電設備的是勒索病毒Wannacry，具體現象是電腦藍屏，鎖各類文檔、數據庫，該病毒利用的是黑客組織“影子經紀人”從美國國家安全局網絡武器庫中盜取的黑客工具“永恒之藍”。

2019年1月

國內某企業中招了包括最新的Wannacry病毒WannaMine礦馬和“驅動人生”變種；下面就將具體的病毒發現過程進行詳述，給工控企業和用戶敲個警鐘，發現病毒盡快處理，別再認為工控機、服務器等藍屏和重啟是因為機器硬件和驅動的問題，也有可能是病毒造成。

1、WannaCry的發現和確認（mssecsvc.exe）

該企業自2017年9月份左右幾臺老的服務器（Windows Server 2000 SP4）出現應用客戶端訪問不到數據庫的情況，需要重啟服務器解決，慢慢的服務器出現自動重啟和藍屏，客戶認為是系統和機器用的年限太久造成，而且某些應用軟件是基于Windows 2000和Windows Server 2003的，經常出現資源不足而導致業務中斷，因此通過偉聯科技的WiP2V技術將原來的老工控機和服務器在線遷移到了私有云服務器集群，解決了應用軟件資源不足和經常連不上數據的問題，但是當我們把其中1臺運行MSSQL的物理服務器轉換為虛擬機后，出現了虛擬機藍屏；該事件引起了偉聯科技技術工程師的重視，因此對藍屏后的Memory.dmp文件進行了分析，得出結果造成系統藍屏的進程是mssecsvc.exe;

通過進一步分析我們確認mssecsvc.exe為WannaCry主文件，這個病毒會智能釋放執行tasksche.exe文件并且自動建立mssecsvc2.0服務，再次執行的時候會自動獲取被感染電腦的IP地址，不斷嘗試聯接到相同子網內每個IP地址的TCP 445端口進行數據傳輸竊取

至此，確認該機器已經中了Wannacry勒索者病毒，該病毒會通過微軟SMB漏洞（漏洞公告：MS17-010）在數小時內感染局域網內的全部電腦；

為了進一步確認，我們查看了Windows任務管理器和C:\Windows目錄，如下圖：

本次捕獲到病毒樣本文件三個，mssecsvc.exe、qeriuwjhrf、tasksche.exe，如圖所示，根據其md5校驗值，tasksche.exe和qeriuwjhrf文件大小為2014KB，mssecsvc.exe大小為3636KB。

查找注冊表也發現了mssecsvc2.0和mssecsvc2.1

通過netstat –an查看網絡連接，發現網絡不停的對外發送SYN_SENT;端口號均為445端口；

同時我們通過360殺毒軟件進行掃描，發現了如下病毒：

發現該病毒后我們迅速和該企業取得聯系，問詢是否企業內其他電腦也有藍屏和重啟的情況，得到的答案是“是” ,?隨后我們也針對該次事件給該用戶提了安全處理以及預防方案。

但是由于工業用戶對病毒的認識沒那么深，以及企業流程的影響，截止到上周服務器出現了運行慢，以及藍屏和重啟越來越頻繁，甚至企業關鍵部門的電腦也出現了藍屏和重啟（一天十幾次），經過我們工程師現場分析，該企業已經中了新的WannaMine礦馬，中毒的機器都在不停的挖礦，占用了系統的大部分資源，導致正常程序運行特別緩慢，甚至啟動一個文件都需要幾分鐘事件。

2、WannaMine2.0發現和確認(SpeechsTracing)

經過和客戶溝通得知網內某臺服務器最近運行緩慢，打開一個程序都需要大約幾分鐘，嚴重影響業務的正常執行；經過查證我們發現該機器中了WannaMine2.0，Wannamine2.0是利用與 NSA 相關的 EternalBlue （“永恒之藍”）漏洞進行傳播的加密挖礦蠕蟲。盡管該漏洞已曝光許久，但國內仍然有不少公司和機構感染并蒙受損失，并且這類蠕蟲病毒不斷有新的變種出現，因此我們對該類型的安全問題也極為重視。

主要特點如下：

1)?HalPluginsServices.dll是主服務，每次都能開機啟動，啟動后加載spoolsv.exe。

2)?spoolsv.exe對局域網進行445端口掃描，確定可攻擊的內網主機。同時啟動漏洞攻擊程序svchost.exe和spoolsv.exe（另外一個病毒文件）。

3)?svchost.exe執行“永恒之藍”漏洞溢出攻擊（目的IP由第2步確認），成功后spoolsv.exe(NSA黑客工具包DoublePulsar后門）安裝后門，加載payload（x86.dll/x64.dll）。

4)?payload（x86.dll/x64.dll）執行后，負責將EnrollCertXaml.dll從本地復制到目的IP主機，再解壓該文件，注冊srv主服務，啟動spoolsv執行攻擊（每感染一臺，都重復步驟1、2、3、4）。

WannaMine 2.0變種包含的病毒文件，主要釋放在下列文件目錄中：

C:\Windows\System32\EnrollCertXaml.dll

C:\Windows\SpeechsTracing\（如果計算機有該目錄，基本確定中招）

C:\Windows\SpeechsTracing\Microsoft\

該病毒為了躲避殺毒軟件的查殺，特地將主控程序加密到了EnrollCertXaml.dll中，通過MS17-010漏洞進行傳播，主要目的是挖掘門羅幣；一旦您的系統中招，您的系統就會出現各種奇怪的活動。您的PC可能會自動關閉并重新啟動幾次。由于病毒會在Windows任務管理器中創建很多的不需要的注冊表和計劃任務，所以有用的應用程序可能需要較長時間才能運行，或者它們可能無法響應并顯示錯誤，如果CPU和內存耗盡，會出現應用程序無法啟動。更糟糕的是，SPEECHSTRACING\SPOOLSV.EXE可能會對您的Internet Explorer造成重大影響，并強制您點擊欺詐。在打開網頁時，網頁上可能會出現令人不舒服廣告。而且病毒還可以加密您的文件，如果數據庫文件或者表格文檔文件被加密，后果不堪設想。

?3、驅動人生變種(wmiex.exe)

也是該工廠在同一臺機器上三個月后中了驅動人生的變種（wmiex.exe）,當我們發現該機器運行慢的時候，首先想到的是先到任務管理器查看是什么進程占用了大部分內存和CPU，結果我們在進程里發現了wmiex.exe驅動人生變種。

通過進程分析發現多了可疑進程wmiex.exe,而且sqlservr.exe的CPU和內存占用率很高，說明數據庫訪問有阻塞，另外多了好多svchost.exe, 根據經驗判斷該計算機中了礦馬。

2018年12月一款通過驅動人生升級驅動下發的傳播木馬爆發，該木馬利用永恒之藍漏洞（MS17-010）進行傳播，僅兩小時攻擊的用戶數超過十萬，2019年1月24日，攻擊者通過云指令對該木馬進行了更新；

被該木馬感染的主機將接受惡意攻擊者下發的任意指令執行惡意操作，當前下發的指令是控制感染主機進行挖礦操作，影響用戶的主機性能，同時下載永恒之藍利用工具實現內網的感染操作，從而實現組建僵尸網絡的目的。

目前該病毒的主要行為如下：

1).?下載保存文件到c:\windows\temp\updater.exe，執行后移動到其他位置；

2).?移動文件到c:\windows\system32\svhost.exe，并設置隱藏屬性；

3).?拷貝文件到c:\windows\system32\drivers\svchost.exe，并設置隱藏屬性；

4).?釋放文件到c:\windows\system32\wmiex.exe，以創建注冊表啟動項、計劃任務等方式進行持久化攻擊 并設置隱藏屬性；調用cmd.exe指令執行wmic.exe清理一些系統工具和挖礦進程（搶占CPU）。

5).?釋放文件到c:\windows\system32\drivers\taskmgr.exe，開始挖礦，所挖取的幣種為門羅幣，并設置隱藏屬性；

6).?下載文件到c:\windows\temp\svchost，此文件為永恒之藍漏洞利用工具；

7).?釋放文件到c:\windows\temp\m.ps1，此文件為mimikatz密碼hash提取工具；

8).?釋放文件到c:\windows\temp\mkatz.ini，此文件包含提取本機用戶的hash值

9).?添加注冊表項（系統啟動項添加Ddriver和WebServers）：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Ddriver

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WebServers

10).?執行計劃任務

在任務計劃里添加Ddrivers和WebServers以及AutoScan任務，每個一小時將主機信息上傳到指定服務器，因此系統進程里多了cmd.exe的進程。

11).?執行計劃任務，并定時上傳主機信息到指定路徑，包括以下：

http[:]//i.haqo.net；http[:]//p.abbny.com；http[:]//o.beahh.com；

http[:]//ii.haqo.net；http[:]//pp.abbny.com；http[:]//oo.beahh.com；

感染“驅動人生”病毒變種木馬的主機，會運行一個偽裝的svchost進程，該父進程會接著創建進程taskmgr、svchost以及cmd，其中taskmgr為挖礦進程。

2019年2月23日該病毒增加了MSSQL爆破攻擊模塊，專門攻擊帶有MSSQL數據庫的主機，前面我們說到該病毒會創建定時計劃任務，以及修改注冊表；2月23日后，該病毒會在主機增加一個賬戶k8h3d; 大家通過net user可以查看。

2月25日，病毒模塊MSSQL爆破模塊密碼字典進行了更新，并將數據庫sa的密碼更新為了ksa8hd4,m@$^&*()。如果數據庫被爆破，對于企業來講后果不堪設想。該用戶由于數據庫密碼比較復雜，可以說是無形中躲過一劫。

自查

至此我們為大家分析了Wannacry2.0，WannaMine2.0以及驅動人生礦馬的發現過程，大家可以自查一下，看看自己系統內是否有文中所述的幾個關鍵文件：

1、?WannaCry2.0 （mssecsvc.exe）

2、?WannaMine2.0（Speechstracing）

3、?驅動人生礦馬 （wmiex.exe）

如果有以上文件請一定引起重視，斷網，關端口，殺毒，打補丁，部署工業安全隔離系統IDMS。

綜上所述，以上三個病毒都是通過ms17-010漏洞在傳播，如果對該漏洞打過補丁則不會面臨此類礦馬，蠕蟲，病毒的威脅。從漏洞公開的2017年3月份到如今2019年3月，已經過去整整兩年，仍有很多企業和組織因為ms17-010漏洞不斷中招。也說明很多企業自身的安全建設和制度存在問題，對數據安全和網絡安全問題不夠重視所致。

目前很多工業生產企業沒有完善的漏洞管理和運行平臺，無法定位局域網內存在漏洞的機器，無法對其定位和統計，這樣就出現了不少的漏網之魚。另外很多企業員工的安全意識也比較缺乏，為了某些目的繞過企業網絡私自連接外網而造成隱患。必要是企業需要對員工的網絡安全意識進行培訓。

最后我們真誠的希望企業能夠提高自己的安全意識，不再認為企業除了生產其他都不重要，如果心里存在這樣的意識，當網絡安全真正威脅到自身的時候，再補救已經為時已晚。讓企業網絡變得安全，需要付出一定的成本，但它也是一項投資。

偉聯科技：

北京偉聯科技有限公司成立于2016年，是位于海淀區的國家級高新技術企業，公司自成立之初就把為工廠提供專業、可靠、安全、先進的工業系統智能化解決方案視為己任；產品涉及工業遠程維護、工業無線通訊、工業私有云、工業安全和工業組態軟件等智能制造和智慧生產相關的全系列產品，其中，偉聯科技自主研發的WiSCADA跨平臺3D工業組態軟件，以及由WiSCDA衍生出的云屏、云盒子更是成為了國內工業用戶實現移動化、智能化管理的潮流之選。

截止2018年，偉聯科技已經獲得軟件著作權8項，注冊商標5項，是國家級高新技術企業和雙軟認證企業。偉聯科技銷售渠道輻射東北、華北、西北、華東、華中和西南各大區域，產品銷售遍布全國，冶金、煤炭、有色金屬、自來水、污水、石油天然氣，電力，熱力，新能源等各大行業均有偉聯科技產品的成功應用。全球領先的工業自動化巨頭、大型國企、科研院所、高校等都已經與偉聯科技形成良好的合作關系。

偉聯科技可為用戶提供完整的數字化工廠解決方案，包括工廠WiFi覆蓋，工廠生產網絡建設，智慧生產管理平臺以及手機移動控制和訪問平臺。而偉聯科技獨具特色的專有的超融合架構與虛擬化技術相結合的工業私有云工廠解決方案更是為工業生產控制系統提供了全新的控制理念，得到了許多大型設計院和終端用戶的認可。工業私有云工廠解決方案獲得2018 IMIC智能制造創新大賽數字化最佳方案獎，WL-430T獲得2018年第16屆中國自動化及智能化年度評選工業互聯獎，某熱電廠輔網改造及私有云方案”榮獲2018-2019第十七屆中國自動化及智能化年度評選——智造示范獎。

偉聯公司所有員工均為在行業內資深的行業專家，均具有十年以上的行業經驗，可為用戶提供專業的技術支持和售后服務。