某天回到公司上班，准备下载一套源码代码审计。开启虚拟机、火绒嘀嘀嘀上线。

        黑人问号

系统进程svchst.exe居然报毒 -k 网卡服务？

访问该地址task.attendecr.com

对地址进行百度

发现可疑进程

正常为：c:windowssystem32spoolsv.exe

异常进程：c:windowsspeechstracingspoolsv.exe

发现svchost.exe生成了一个日志

该日志为WannaMine挖矿蠕虫的日志文件

马上把虚拟机网络给断掉，十年不遇一次，我被日了。

实锤WannaMine无疑、spoolsv.exe和svchost.exe被替换

找到病毒运行传播模块为：spoolsv.exe

c:windowssystem32spoolsv.exe

病毒运行模块为：svchost.exe

c:windowsspeechstracingsvchost.exe

新建了SpeechsTracing文件夹和MICROSOFT

打开Microsoft发现spoolsv.xml和svchost.xml

发现相应的IP地址和端口号被写入到EternalBlue攻击程序svchost.exe的配置文件svchost.xml中

然后通过CreateProcessA函数启动svchost.exe（永恒之蓝攻击程序）进行局域网主机的攻击，同时将这个行为特征记录到stage1.txt。

永恒之蓝攻击完成之后，会修改DoublePulsar后门程序spoolsv.exe的配置文件spoolsv.xml

事情到这里差不多知道他是怎么进来了。

        想起公司有妹子前几天安装了一个虚拟机激活工具

猜测估计局域网内已有机子早已被种下该病毒、以至于通过爆破我的沙雕虚拟机从而入侵。

总结：想tm做梦一样

解决方案
1、隔离感染主机：已中毒计算机尽快隔离，关闭所有网络连接，禁用网卡。
2、切断传播途径：关闭潜在终端的SMB 445等网络共享端口，关闭异常的外联访问。
3、查找攻击源：手工抓包分析或借助态势感知类产品分析。
4、查杀病毒：推荐使用EDR工具进行查杀。
5、修补漏洞：打上“永恒之蓝”漏洞补丁，请到微软官网，下载对应的漏洞补丁（https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx）

喜欢就转发一下

手握日月摘星辰，安全路上永不止步。

                                                   - Khan攻防安全实验室

本文始发于微信公众号（Khan安全攻防实验室）：有内鬼、终止交易 - 我被R了到逮住公司内鬼