声明

声明：文章中涉及的工具(方法)可能带有攻击性，仅供安全研究与教学使用，读者若做其他违法犯罪用途，由用户承担全部法律及连带责任，文章作者不承担任何法 律及连带责任。

一、事件描述

2023年2月28日12时20分，接到通知运维的系统在2023年2月28日11时49分对某银行内部1台终端发起Ramnit病毒传播。及时安排进行现场安全排查。告警IP：20.1.63.166为XX系统服务器。

该系统部署于内网重要业务网络区域，通过IDS系统对内网服务器均进行了检测查询，目前有5台服务器感染该病毒，告警为中危，均为XX所属应用服务器，其他服务器未发现感染情况。针对发现已感染的服务器均已清除病毒，对应用系统进行代码审查，删除恶意代码。

通过排查、分析发现病毒存在于XX系统html文件中（http://sys.domain.com/*.html），当用户使用低版本或安全策略配置不当的IE浏览器访问、点击页面时触发html中的恶意代码，恶意代码向终端发送VBS脚本（Windows系统可执行脚本）Ramnit病毒，尝试对终端进行感染，Ramnit病毒在终端运行成功后会感染本地计算机的html文件,对html文件添加Ramnit病毒代码，从而形成蠕虫的自动化传播。在被感染的服务器中获取到恶意代码样本生成的exe文件，将该exe文件在常见操作系统（Windows server 2003、Windows server 2008、Windows 7、Windows 10）均无法正常运行，IDS设备告警原因为恶意的html代码块含有Ramnit病毒的下载器特征。

二、排查情况

对安全设备、应用系统、中间件等设备日志进行检查，逐步排查分析病毒传播方式、利用方式、影响范围等。

登录内网核心防火墙、WAF、IPS、IDS等安全设备、应用系统、中间件查看日志分析，发现IDS检测到病毒行为，对IDS日志进行分析定位到恶意文件，但IDS为入侵检测系统，不具备拦截功能。当工作人员在使用低版本或安全策略配置不当的IE浏览器访问、点击受感染系统页面（http://sys.domain.com/*.html）时，触发恶意代码文件，恶意代码文件向用户终端发送VBS脚本，企图运行脚本生成svchost.exe文件，对终端进行感染。在对IDS日志进行分析时，发现除20.1.63.166服务器外20.1.63.167、20.1.63.168、20.1.63.169、20.1.63.170同样含有病毒特征。

2.1 日志查询

1、对核心防火墙进行安全日志查询，查询情况如下：

对核心防火墙系统日志、威胁日志、攻击防范日志进行查询，未查询到20.1.63.166关于 Ramnit病毒相关的日志。

系统日志：

威胁日志：

攻击防范日志：

2、对IPS设备进行安全日志查询，查询情况如下：

对IPS的入侵防御日志、防病毒日志、系统日志进行查询，未查询到20.1.63.166 关于 Ramnit病毒相关的日志。

入侵防御日志：

防病毒日志：

系统日志：

3、对WEB应用防火墙进行安全日志查询，查询情况如下：

对WEB应用防火墙应用防护日志进行查询，未查询到20.1.63.166 关于 Ramnit病毒相关的日志。

应用防护日志：

4、对IDS设备进行安全日志查询，查询情况如下：

对IDS设备特征监测进行查询，查询到20.1.63.166 关于Ramnit病毒相关记录为中危，最早记录时间是2020年11月13日。发现攻击源地址为：20.1.63.167、20.1.63.168、20.1.63.169、20.1.63.170（均为XX所属应用服务器），被攻击地址：部分内网终端、172.18.1.20（172.18.1.20为内网闸接口地址，所有外单位被攻击地址均显示为此地址）。

特征监测：

5、应用中间件日志：

对应用中间件的日志进行查询，未查询到20.1.63.166 关于 Ramnit病毒相关的日志。

中间件日志：

6、应用后台日志：

对应用后台系统日志、操作日志进行查询，未查询到20.1.63.166 关于 Ramnit病毒相关的日志。

系统日志：

2.2 应用系统恶意代码定位与分析

1、恶意代码定位
根据IDS特征监测日志发现存在中危的Ramnit病毒记录，在20.1.63.166服务器进行检查，通过工具扫描，发现存在恶意代码文件，定位到病毒路径：http://sys.domain.com/*.html。

2、找到病毒文件后对该文件进行分析。

1）Ramnit 病毒样本
在被植入了Ramnit病毒的主机中，病毒会感染主机中的.html或.htm后缀的文件，在.html或.htm文件中添加如下的 vbs 攻击代码：

2）Ramnit 病毒的执行

当使用低版本或安全策略配置不当的IE 浏览器访问被 Ramnit 感染的 html 网页时，会在用户系统（Windows系统）中执行VBS 攻击代码，创建并运行 Ramnit 病毒感染访问者本地计算机的 html 文件，从而形成病毒的自动化传播。

3）VBS文件分析

当用户访问存在Ramnit病毒的网页时，由于使用了安全策略配置不当的 IE 浏览器，病毒执行将WriteData参数的值写入到svchost.exe中。

在用户系统中安全警告提示“您确定要运行该软件吗？”，点击“运行”，即触发VBS代码将恶意的svchost.exe软件生成至本地的temp目录。

运行svchost.exe

无法运行。

4）Ramnit 病毒危害分析
Windows7系统用户运行本地生成的svchost.exe无法正常运行。

Windows10系统用户运行svchost.exe程序提示无法运行。

Windows2003系统用户运行svchost.exe程序提示无法运行。

Windows Server 2008系统用户运行svchost.exe程序提示无法运行。

对原始的vbs代码进行杀毒，提示释放器木马。

对vbs代码进行拆分。

杀毒软件报病毒的原因是因为该段代码参数符合自动生成写入木马的特征。

5）利用在线云沙箱分析该程序

无释放文件，无恶意外链域名/IP。

6）利用LCG动态分析svchost.exe程序提示无法启动文件。

7）利用IDA静态分析svchost.exe

8）恶意代码溯源
根据服务器中历史备份记录查询到在2020年12月2日（无更早的备份源码）中的源代码也包含恶意代码。

三、处置情况

基于此次XX系统服务器Ramnit病毒事件，处置情况如下：
1、收到通知后立即对受影响PC终端、服务器进行杀毒、备份、删除应用系统中的恶意代码，同时全面排查内部信息系统、服务器、终端是否存在Ramnit 病毒并予以清除；
2、对应用系统源代码进行恶意代码扫描分析：

利用Webshell扫描工具对源代码进行扫描，未发现风险，其代码中使用了exec函数，但无执行参数并且已将执行的语句固定，不能自定义参数。

3、对受影响的设备进行杀毒，删除应用中的恶意代码。

4、建议用户使用高版本的IE浏览器或者谷歌浏览器等访问网站，且设置较高的安全等级。

5、不要轻易允许陌生网站的ActiveX运行请求或者Script Runtime运行请求。