广电媒资系统简介及病毒的查杀与防护
- 格式:pdf
- 大小:2.12 MB
- 文档页数:3
64《有线电视技术》 2019年第2期 总第350
期技术前沿
1 引言
媒体资产管理系统(以下简称“媒
资系统”),是为了实现对内外媒体资
源的统一收录、转码、编审、管理、
存储和发布等功能,支撑后端系统对
多终端及多码率碎片化时移化的视音
频直播、点播服务的需求,为用户提
供最新、最快、最全的资讯信息服务
而建设的。
2018年7月出现媒资系统的部分
服务器出现蓝屏死机及业务流程变慢
的情况,发现问题后,对相关服务器
的操作系统及机柜物理环境进行了排
查。初步怀疑为病毒导致。本文将针
对上述问题展开相关分析及处理方案。
2 媒资系统网络结构
媒资系统的网络拓扑主要分为五
个模块,工作站、媒资生产系统、媒
资控制系统、媒资存储系统、第三方
内容商注入系统。其中,工作站负责
素材的拆条、合成、编目、审核、上
传工作,媒资生产系统负责素材的离
线转码工作,媒资控制系统为中间件,
媒资存储系统负责素材的存储、备份
等工作,第三方内容商注入系统实现
让第三方运营商通过接口注入素材至
媒资FTP
服务器,由中间件实现自动扫描入库。整个系统完全存在于内网,
只在工作站及媒资FTP服务器这里存
在对外的情况。具体拓扑如图1所示。
3 病毒查杀及防护
3.1 扫描情况
在发现媒资系统部分服务器存在
频繁蓝屏死机情况后,对服务器操作系
统的日志及机房机柜的环境做了排查,
初步怀疑是病毒导致。接着在其中一台
服务器上安装了杀毒软件并进行了全
盘扫描,扫描结果日志如图2所示。
在扫描结果日志中可以看到存在
mssecsvc.exe、tasksche.exe文件,通过
搜索发现该类文件为典型的勒索病毒文件,对其他服务器也做了同样的扫
描,结果完全一样。但是这几台服务
器并未出现勒索界面,只是存在蓝屏
死机的现象,为确认问题原因,依照
扫描日志结果,笔者提取出了病毒样
本进行分析。
3.2 样本分析
这些病毒样本包含两种病毒,其
中mssecsvc.exe为勒索病毒的一种变种,
感染后由其释放自身中的资源文件到
“C:\Windows\tasksche.exe”,tasksche.
exe本应该是勒索程序,但此变种的该
程序在主流的Windows操作系统上运
行出错,从而没有进行勒索行为,如
果“C:\Windows\tasksche.exe”存在,广电媒资系统简介及病毒的查杀与防护
李逸伦 江西省广播电视网络传输有限公司
摘要:本文主要描述了媒资系统的基本功能、网络结构和问题现象,病毒的查杀过程及分析该病毒的传播
方式和危害。最后针对病毒清除完毕后对相关系统所作的防护措施进行了相应的总结。关键词:媒资系统 病毒 危害 防护
图1 网络拓扑
65技术前沿《有线电视技术》 2019年第2期 总第350期
mssecsvc.exe将其更名为“C:\Windows\
qeriuwjhrf ”,在重复感染的情况下,
“C:\Windows\qeriuwjhrf”文件一般都存在。
此勒索病毒变种依旧是通过“永
恒之蓝”漏洞来攻击网内其他主机,并
通过445端口进行病毒文件共享来感染
其他主机,其对该漏洞的利用使用了堆
喷射技术,该技术漏洞利用并不稳定,
有小概率出现漏洞利用失败的情况,如
果在未打补丁的主机上利用失败,则会
造成被攻击主机蓝屏的现象。至此媒资
系统服务器出现蓝屏死机的情况即为
该病毒漏洞利用失败导致。
另一种为挖矿病毒WannaMine,
为上述勒索变种的附带产物,同样是
利用“永恒之蓝”漏洞进行攻击。中
毒主机会在后台执行挖矿程序进行挖
矿操作,这就大大的影响了主机性能,
造成了媒资系统业务流程变慢。提取
出的MsraReportDataCache32.tlb含有所需
要的所有攻击组件,其目录下有hash、
spoolsv、srv等病毒文件。
此外,子压缩包crypt有“永恒之蓝”
漏洞攻击工具集,比如svchost.exe、
spoolsv.exe、x86.dll/x64.dll等。
其中,hash/hash64为32位/64
位挖矿程序,这个程序会被重命名为
TrueServiceHost.exe。spoolsv/spoolsv64
为32位/64位攻击母体,会被重命名
为spoolsv.exe。srv/srv64为32位/64
位为主服务,攻击入口点,会被重命
名为tpmagentservice.dll。路径都在
“C:\Windows\SecureBootThemes\”下,
可以直接根据是否存在这个路径来判
断是否存在该病毒。
此病毒攻击顺序为。
(1)srv是主服务,每次都能开
机启动,启动后加载spoolsv。
(2)spoolsv对局域网进行445
端口扫描,确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程
序svchost.exe和spoolsv.exe。
(3)svchost.exe执行“永恒之
蓝”漏洞溢出攻击(目的IP由第2步
确认),成功后spoolsv.exe(NSA黑客
工具包DoublePulsar后门)安装后门,
加载payload(x86.dll/x64.dll)。
(4)payload(x86.dll/x64.dll)执
行后,负责将MsraReportDataCache32.
tlb从本地复制到目的IP主机,再
解压该文件,注册srv主服务,启动spoolsv执行攻击(每感染一台,都重
复步骤1、2、3、4)。
另外该病毒还包含有非常健壮的
自更新机制,包括外网更新和局域网更
新两个方面。病毒自更新主要是获取新
的压缩包MsraReportDataCache32.tlb。
只要局域网内有一台感染主机可
以上网,则该主机可以从公网上下载到
最新的MsraReportDataCache32.tlb,并
解压自更新(外网更新)。然后,该主
机可以创建微型Web
服务端,供内网图2 扫描结果日志66《有线电视技术》 2019年第2期 总第350
期技术前沿
其他无法上网的主机下载更新(局域网
更新),挖矿病毒WannaMine的自更
新机制如图3所示。
这样的一个更新机制,保障了全
网都能及时更新到最新的病毒变种,
且在主服务没有被删除的情况下,即
使其他病毒文件被删除,很快又可以
重新下载生成,极大保障了此僵尸网
络的健壮性。
3.3 病毒清除及网络调整
经过上述排查与分析过程己基本
了解了此次媒资系统的病毒传播途径
及相关病毒文件路径,为了使这次病毒清除的彻底,接下来做以下三步工作。
第一步,把媒资系统的每台服务
器、PC工作站与交换机断开连接,保
证每台设备处于物理隔离状态,将能够
恢复系统的设备恢复到原始的备份系
统,然后通过纯净U盘拷入微软发布
的“永恒之蓝”漏洞补丁及最新版杀毒
软件,对每台设备进行了单独的打补丁
及杀毒工作,完成后再通过反复确认病
毒已清除后再进行下一步操作。
第二步,通过分析可知此次病毒
攻击是通过445端口进行传播的,但是媒资系统本身的软件就需要利用文件共享功能,所以该端口无法封闭,
鉴于此原因,目前的媒资网络存在如
下风险,一是工作站这边存在通过移
动硬盘上传素材的情况,移动硬盘混
用情况频发;二是第三方内容商注入
素材容易发生病毒传播。
针对第一个风险,作者对网络进
行了调整,新增一台杀毒工作站(封闭
了445、135、138、139等高危漏洞并
定期打上相关漏洞补丁)用作素材上
传,所有的移动硬盘必须通过该工作站
杀毒后再上传至媒资系统,其余工作站
只能使用媒资软件,严禁安装其他软
件,严禁使用任何外接存储介质,严禁
连接外网,定期进行漏洞扫描打上安全
补丁。用作上传素材的移动硬盘严禁再
做他用并定期杀毒与格式化。针对第二
个风险,作者在防火墙上封闭了445、
135、138、139等高危端口,并对边界
FTP服务器制定了定期漏扫的计划。调
整后的拓扑如图4所示。
第三步,按照最新的网络规划配
置好交换机,将断开的网线光纤重新按
照接线表接入交换机,多次测试媒资业
务流程,待全部通过后,此次病毒的处
理工作才算完成。经过此次处理及重新
规范操作,目前媒资系统运转正常。
4 总结
媒资系统受到此次攻击,完全是因
为安全工作上的疏忽导致,系统安全一
直是运维工作的重中之重,没有完全安
全的系统,只有在运维工作中不断地提
高安全意识,将系统安全时刻放在心上,
规范运维工作中的操作,做好运维安全报表,才能将风险降至最低。
CATV图3 挖矿病毒WannaMine的自更新机制
图4 更改后的网络拓扑