千家信息网

如何理解虚拟货币矿机利用Windows SMB漏洞恶意传播的分析报告

发表于:2024-11-22 作者:千家信息网编辑
千家信息网最后更新 2024年11月22日,这期内容当中小编将会给大家带来有关如何理解虚拟货币矿机利用Windows SMB漏洞恶意传播的分析报告,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。1. 样本描述该
千家信息网最后更新 2024年11月22日如何理解虚拟货币矿机利用Windows SMB漏洞恶意传播的分析报告

这期内容当中小编将会给大家带来有关如何理解虚拟货币矿机利用Windows SMB漏洞恶意传播的分析报告,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。

1. 样本描述

该恶意软件利用WindowsSMB漏洞传播,释放虚拟货币矿机挖矿的肉鸡集群,并伪装成系统进程spoolsv.exe,其自身在释放攻击载荷之后,还会开启对局域网络445端口的疯狂扫描,一旦发现局域网内开放的445端口,就会将目标IP地址及端口写入EternalBlue的配置文件中,然后进行溢出攻击。感染者将根据矿池地址和矿机账号为宿主进行淘金!

2. 样本分析

1、通过对系统进程检查发现spoolsv.exe是一个压缩文件,使用zip解压此文件后,发现了NSA攻击工具包。同时在解压之后的文件中也找到了与样本同名的两个可执行体,以及同名的xml配置文件。



spoolsv.exe并非简简单单的释放攻击包,其自身在释放攻击载荷之后,还会开启对局域网络445端口的疯狂扫描,一旦发现局域网内开放的445端口,就会将目标IP地址及端口写入EternalBlue的配置文件中,然后启动svchost.exe进行第1步溢出攻击。第1步攻击的结果会记录在stage1.txt中,攻击完成后,母体会检查攻击是否成功,若攻击成功,则继续修改DoublePulsar的配置文件,并启动spoolsv.exe(压缩包内的DoublePulsar,并非母体)在目标计算机安装后门,此称之为第2步攻击,结果会记录在stage2.txt中。





被安装了DoublePulsar后门的计算机中lsass.exe进程被注入了一段shellcode,这和外网公布的DoublePulsar的行为一模一样,但样本中的这段shellcode利用lsass.exe进程在局域网被感染的其他计算机上下载了另一个神秘的可执行文件:





在局域网其他电脑上下载一个母体文件,以便于二次传播。第三,释放一个ServicesHost.exe进程并以指定的参数执行这个进程。

继续跟踪这个ServicesHost.exe以及启动参数,从此程序的启动参数中看到了一个国外各种数字货币的矿池,网站提供了各种数字货币的矿池地址,只要在网站注册账户,就可以利用矿机参与挖矿,挖的正式一种不是很常见的数字货币--门罗币。





3. 分析结论

该作者利用较新的SMB漏洞使恶意软件进行传播、释放和执行挖矿流程,赚取虚拟货币。

4. 防御建议

1.及时更新操作系统补丁;

2.加强对445等端口(其他关联端口如: 135、137、139)的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;

3.已中木马的用户,可使用杀毒工具进行全盘查杀并保持良好上网习惯,切勿运行陌生程序,安装安全软件等。

上述就是小编为大家分享的如何理解虚拟货币矿机利用Windows SMB漏洞恶意传播的分析报告了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注行业资讯频道。

0