网站首页 > 资源文章 正文
来自网络安全公司F-Secure的Neeraj Singh在上周发表的一篇分析文章中指出,虽然距离首次在2017年5月份爆发的WannaCry勒索软件活动中被发现遭到利用的EternalBlue(永恒之蓝)漏洞已经有一年多的时间了,但目前在亚洲这个漏洞仍在被用来感染没有安装修复补丁的设备。
F-Secure的检测报告表明,从2018年11月中旬开始,NRSMiner挖矿病毒的最新版本就一直在亚洲国家积极传播,而它正是利用了EternalBlue漏洞。需要指出的是,大多数受感染系统都位于越南。
最新版本的NRSMiner如何传播?
F-Secure的研究表明,最新版本的NRSMiner主要通过两种方法感染系统:
l 将一个更新程序模块下载到此前已被旧版本NRSMiner感染的系统上;
l 如果系统未安装修复补丁(MS17-010),则利用EternalBlue漏洞感染该系统。
方法1:通过更新模块进行感染
Neeraj Singh表示,已被旧版本NRSMiner感染(并运行wmassrv服务)的系统将会连接到tecate[.]traduires[.]com,将更新程序模块作为tmp[xx].exe下载到%systemroot%temp文件夹,其中的[xx]是GetTickCount() API的返回值。
当更新程序模块执行时,它将从一个硬编码IP地址列表中选择一个IP地址,以下载另一个文件到同一个文件夹:
下载的/x86或/x64文件将作为WUDHostUpgrade[xx].exe保存到%systemroot%temp中。同样的,其中的[xx]是GetTickCount() API的返回值。
WUDHostUpgrade[xx].exe
WUDHostUpgrade[xx].exe首先会检查mutex{502CBAF5-55E5-F190-16321A4},以确定系统是否已经感染了最新版本的NRSMiner。如果已经感染,WUDHostUpgrade[xx].exe将自行删除。如果未感染,它将删除MarsTraceDiagnostis.xml、snmpstorsrv.dll、MgmtFilterShim.ini文件。
接下来,它会将MarsTraceDiagnostics.xml和snmpstorsrv.dll从其资源部分(BIN目录)提取到%systemroot%system32或%systemroot%sysWOW64文件夹。
然后,它将从svchost.exe复制CreationTime、LastAccessTime和LastWritetime属性的值,并用复制的值更新MarsTraceDiagnostis.xml和snmpstorsrv.dll对应的属性。
最后,它将创建一个名为“snmpstorsrv”的服务,其中snmpstorsrv.dll注册为servicedll,并删除自身。
Snmpstorsrv服务
新创建的Snmpstorsrv服务在“svchost.exe -k netsvcs”下启动并加载snmpstorsrv.dll文件,而该文件将创建多个线程,以执行多种恶意活动。
它首先在%systemroot%system32文件夹中创建一个名为“MgmtFilterShim.ini”的文件,并将其CreationTime、LastAccessTime和LastWritetime属性修改为与svchost.exe对应属性相同的值。
接下来,它将从MarsTraceDiagnostis.xml中提取恶意URL和挖掘模块的配置文件。
对于已被旧版本NRSMiner感染的系统,Snmpstorsrv服务将删除旧版本NRSMiner的所有组件,然后再使用最新版本重新感染系统。在删除旧版本的所有组件之后,Snmpstorsrv服务将通过以下链接,检查挖掘模块是否已经更新:
l reader[.]pamphler[.]com/resource
l handle[.]pamphler[.]com/modules.dat
新的挖掘模块并将被下载并写入MarsTraceDiagnostis.xml文件。在下载新模块之后,它将删除%systemroot%system32TrustedHostex.exe中的旧模块,然后将新模块注入到svchost.exe,以进行挖矿。
方法2:通过Wininit.exe和EternalBlue漏洞进行感染
在最新版本的NRSMiner中,Wininit.exe负责处理漏洞利用和传播。首先,Wininit.exe会将压缩数据解压到%systemroot%AppDiagnoticsble.xml中,并将文件解压到AppDiagnotics文件夹中。解压文件中有一个名为svchost.exe的文件,它是EternalBlue2.2.0漏洞利用程序的可执行文件。然后,它将删除ble.xml文件,并在AppDiagnotics文件夹中写入两个名为x86.dll和x64.dll的新文件。
Wininit.exe首先会通过扫描TCP端口445上的本地网络来搜索其他可访问的系统,然后执行EternalBlue漏洞利用程序的可执行文件。
如果漏洞利用成功,Wininit.exe将执行spoolsv.exe,这是DoublePulsar-1.3.1的可执行文件。它会将DoublePulsar后门安装到目标系统上。根据操作系统的不同,对应的x86.dll或x64.dll文件随后通过将Wininit.exe传输,并通过spoolsv.exe后门注入目标系统的lsass.exe。
x86.dll/x64.dll
该文件将创建一个套接字连接,并从受感染的系统中获取%systemroot%system32文件夹中的MarsTraceDiagnostis.xml文件。此外,它还将提取snmpstorsrv.dll,然后在新感染的系统上创建并启动Snmpstorsrv服务,以查找并感染其他系统。
挖矿模块
最新版本的NRSMiner使用XMRig Monero CPU挖矿程序来挖掘门罗币(Monero)。它通过如下参数中的一个来运行:
下面是参数中使用的开关:
l -o, –url=URL 挖矿服务器URL
l -u, –user=USERNAME 挖矿服务器用户名
l -p, –pass=PASSWORD 挖矿服务器密码
l -t, –threads=N 挖矿程序线程数
l –donate-level=N 捐赠水平,默认5%
l –nicehash 启用nicehash.com支持
缓解措施
对于普通计算机用户而言,为了避免感染NRSMiner,我们有必要安装由微软发布的安全补丁。如果认为安装这些补丁会导致系统运行出现问题,那么至少应该禁用SMBv1,以避免受到EternalBlue(永恒之蓝)漏洞的影响。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
猜你喜欢
- 2024-09-12 使用WMI及永恒之蓝进行传播的无文件密币挖矿程序
- 2024-09-12 给自己电脑加成防护,拒绝onion比特币勒索病毒!
- 2024-09-12 防比特币电脑勒索病毒补丁大全已经整理好
- 2024-09-12 面对肆虐的勒索病毒,家用电脑该怎么办?
- 2024-09-12 防火防盗防勒索!铭瑄教你应对勒索病毒
- 2024-09-12 勒索病毒补丁怎么下载 勒索病毒各版本补丁下载地址汇总
- 2024-09-12 安全扫描神器Nmap 7.8 发布,全新Npcap、NSE大量改进
- 2024-09-12 MS17-010永恒之蓝处置(永恒之蓝fail)
- 2024-09-12 勒索病毒肆虐,傲梅免费数据备份软件帮您提前备份数据
- 2024-09-12 在你不知道的时候,“隐魂”已入侵你的电脑
你 发表评论:
欢迎- 最近发表
- 标签列表
-
- 电脑显示器花屏 (79)
- 403 forbidden (65)
- linux怎么查看系统版本 (54)
- 补码运算 (63)
- 缓存服务器 (61)
- 定时重启 (59)
- plsql developer (73)
- 对话框打开时命令无法执行 (61)
- excel数据透视表 (72)
- oracle认证 (56)
- 网页不能复制 (84)
- photoshop外挂滤镜 (58)
- 网页无法复制粘贴 (55)
- vmware workstation 7 1 3 (78)
- jdk 64位下载 (65)
- phpstudy 2013 (66)
- 卡通形象生成 (55)
- psd模板免费下载 (67)
- shift (58)
- localhost打不开 (58)
- 检测代理服务器设置 (55)
- frequency (66)
- indesign教程 (55)
- 运行命令大全 (61)
- ping exe (64)
本文暂时没有评论,来添加一个吧(●'◡'●)