一、概要

近日，业界爆发一种新型PowershellMiner挖矿病毒，其利用WMI+Powershell方式进行无文件攻击，并长驻内存进行挖矿。该病毒具备无文件攻击的高级威胁外，还具有两种横向传染机制，分别为Mimikatz+WMIExec自动化爆破和MS17-010“永恒之蓝”漏洞攻击，极易在局域网内迅速传播。

利用漏洞：MS17-010

请涉及漏洞的租户根据自身业务情况，采取防护措施。

二、漏洞级别

漏洞级别：【严重】（说明：漏洞级别共四级：一般、重要、严重、紧急。）

三、影响范围

开启了WMI启动项，开启了445端口SMB网络共享协议，且未打漏洞（MS17-010）补丁的Windows系统（包括个人版和服务器版） 四、排查方法

1. 检查系统是否打上了MS17-010漏洞补丁包

2. 检查系统是否开启了445端口的SMB网络共享协议

3. 检查系统是否卡顿，CPU是否异常

4. 检查系统是否存在Powershell宿主进程, 如果存在该进程请使用Autoruns工具（微软官网可下），选择WMI启动项查看是否存在Powershell.exe

五、安全建议

1. 隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡。

2. 切断传播途径：关闭潜在终端的SMB 445等网络共享端口，关闭异常的外联访问。

3. 查找攻击源：手工抓包分析或借助态势感知类产品分析。

4. 查杀病毒：使用Autoruns工具（微软官网可以下载），选择WMI，将该WMI启动项删除（该项底部详细栏有“SELECT * FROM __InstanceModificationEvent WITHIN 5600”），然后打开“任务管理器”，将PowerShell宿主进程杀掉即可。

5. 修补漏洞：打上“永恒之蓝”漏洞补丁，请到微软官网，下载对应的漏洞补丁：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

6. 修改密码：如果主机账号密码简单，建议重置为高强度的密码。

注意：采取加固措施前请将资料备份，并进行充分测试。