来自网络安全公司F-Secure的Neeraj Singh在上周发表的一篇分析文章中指出，虽然距离首次在2017年5月份爆发的WannaCry勒索软件活动中被发现遭到利用的EternalBlue（永恒之蓝）漏洞已经有一年多的时间了，但目前在亚洲这个漏洞仍在被用来感染没有安装修复补丁的设备。

F-Secure的检测报告表明，从2018年11月中旬开始，NRSMiner挖矿病毒的最新版本就一直在亚洲国家积极传播，而它正是利用了EternalBlue漏洞。需要指出的是，大多数受感染系统都位于越南。

最新版本的NRSMiner如何传播？

F-Secure的研究表明，最新版本的NRSMiner主要通过两种方法感染系统：

l 将一个更新程序模块下载到此前已被旧版本NRSMiner感染的系统上；

l 如果系统未安装修复补丁（MS17-010），则利用EternalBlue漏洞感染该系统。

方法1：通过更新模块进行感染

Neeraj Singh表示，已被旧版本NRSMiner感染（并运行wmassrv服务）的系统将会连接到tecate[.]traduires[.]com，将更新程序模块作为tmp[xx].exe下载到%systemroot%temp文件夹，其中的[xx]是GetTickCount() API的返回值。

当更新程序模块执行时，它将从一个硬编码IP地址列表中选择一个IP地址，以下载另一个文件到同一个文件夹：

下载的/x86或/x64文件将作为WUDHostUpgrade[xx].exe保存到%systemroot%temp中。同样的，其中的[xx]是GetTickCount() API的返回值。

WUDHostUpgrade[xx].exe

WUDHostUpgrade[xx].exe首先会检查mutex{502CBAF5-55E5-F190-16321A4}，以确定系统是否已经感染了最新版本的NRSMiner。如果已经感染，WUDHostUpgrade[xx].exe将自行删除。如果未感染，它将删除MarsTraceDiagnostis.xml、snmpstorsrv.dll、MgmtFilterShim.ini文件。

接下来，它会将MarsTraceDiagnostics.xml和snmpstorsrv.dll从其资源部分（BIN目录）提取到%systemroot%system32或%systemroot%sysWOW64文件夹。

然后，它将从svchost.exe复制CreationTime、LastAccessTime和LastWritetime属性的值，并用复制的值更新MarsTraceDiagnostis.xml和snmpstorsrv.dll对应的属性。

最后，它将创建一个名为“snmpstorsrv”的服务，其中snmpstorsrv.dll注册为servicedll，并删除自身。

Snmpstorsrv服务

新创建的Snmpstorsrv服务在“svchost.exe -k netsvcs”下启动并加载snmpstorsrv.dll文件，而该文件将创建多个线程，以执行多种恶意活动。

它首先在%systemroot%system32文件夹中创建一个名为“MgmtFilterShim.ini”的文件，并将其CreationTime、LastAccessTime和LastWritetime属性修改为与svchost.exe对应属性相同的值。

接下来，它将从MarsTraceDiagnostis.xml中提取恶意URL和挖掘模块的配置文件。

对于已被旧版本NRSMiner感染的系统，Snmpstorsrv服务将删除旧版本NRSMiner的所有组件，然后再使用最新版本重新感染系统。在删除旧版本的所有组件之后，Snmpstorsrv服务将通过以下链接，检查挖掘模块是否已经更新：

l reader[.]pamphler[.]com/resource

l handle[.]pamphler[.]com/modules.dat

新的挖掘模块并将被下载并写入MarsTraceDiagnostis.xml文件。在下载新模块之后，它将删除%systemroot%system32TrustedHostex.exe中的旧模块，然后将新模块注入到svchost.exe，以进行挖矿。

方法2：通过Wininit.exe和EternalBlue漏洞进行感染

在最新版本的NRSMiner中，Wininit.exe负责处理漏洞利用和传播。首先，Wininit.exe会将压缩数据解压到%systemroot%AppDiagnoticsble.xml中，并将文件解压到AppDiagnotics文件夹中。解压文件中有一个名为svchost.exe的文件，它是EternalBlue2.2.0漏洞利用程序的可执行文件。然后，它将删除ble.xml文件，并在AppDiagnotics文件夹中写入两个名为x86.dll和x64.dll的新文件。

Wininit.exe首先会通过扫描TCP端口445上的本地网络来搜索其他可访问的系统，然后执行EternalBlue漏洞利用程序的可执行文件。

如果漏洞利用成功，Wininit.exe将执行spoolsv.exe，这是DoublePulsar-1.3.1的可执行文件。它会将DoublePulsar后门安装到目标系统上。根据操作系统的不同，对应的x86.dll或x64.dll文件随后通过将Wininit.exe传输，并通过spoolsv.exe后门注入目标系统的lsass.exe。

x86.dll/x64.dll

该文件将创建一个套接字连接，并从受感染的系统中获取%systemroot%system32文件夹中的MarsTraceDiagnostis.xml文件。此外，它还将提取snmpstorsrv.dll，然后在新感染的系统上创建并启动Snmpstorsrv服务，以查找并感染其他系统。

挖矿模块

最新版本的NRSMiner使用XMRig Monero CPU挖矿程序来挖掘门罗币（Monero）。它通过如下参数中的一个来运行：

下面是参数中使用的开关：

l -o, –url=URL 挖矿服务器URL

l -u, –user=USERNAME 挖矿服务器用户名

l -p, –pass=PASSWORD 挖矿服务器密码

l -t, –threads=N 挖矿程序线程数

l –donate-level=N 捐赠水平，默认5%

l –nicehash 启用nicehash.com支持

缓解措施

对于普通计算机用户而言，为了避免感染NRSMiner，我们有必要安装由微软发布的安全补丁。如果认为安装这些补丁会导致系统运行出现问题，那么至少应该禁用SMBv1，以避免受到EternalBlue（永恒之蓝）漏洞的影响。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。