前端开发入门到精通的在线学习网站

网站首页 > 资源文章 正文

NRSMiner挖矿病毒最新版本来袭,借助永恒之蓝漏洞在亚洲国家传播

qiguaw 2024-09-12 16:45:43 资源文章 13 ℃ 0 评论

来自网络安全公司F-Secure的Neeraj Singh在上周发表的一篇分析文章中指出,虽然距离首次在2017年5月份爆发的WannaCry勒索软件活动中被发现遭到利用的EternalBlue(永恒之蓝)漏洞已经有一年多的时间了,但目前在亚洲这个漏洞仍在被用来感染没有安装修复补丁的设备。

F-Secure的检测报告表明,从2018年11月中旬开始,NRSMiner挖矿病毒的最新版本就一直在亚洲国家积极传播,而它正是利用了EternalBlue漏洞。需要指出的是,大多数受感染系统都位于越南。

最新版本的NRSMiner如何传播?

F-Secure的研究表明,最新版本的NRSMiner主要通过两种方法感染系统:

l 将一个更新程序模块下载到此前已被旧版本NRSMiner感染的系统上;

l 如果系统未安装修复补丁(MS17-010),则利用EternalBlue漏洞感染该系统。

方法1:通过更新模块进行感染

Neeraj Singh表示,已被旧版本NRSMiner感染(并运行wmassrv服务)的系统将会连接到tecate[.]traduires[.]com,将更新程序模块作为tmp[xx].exe下载到%systemroot%temp文件夹,其中的[xx]是GetTickCount() API的返回值。

当更新程序模块执行时,它将从一个硬编码IP地址列表中选择一个IP地址,以下载另一个文件到同一个文件夹:

下载的/x86或/x64文件将作为WUDHostUpgrade[xx].exe保存到%systemroot%temp中。同样的,其中的[xx]是GetTickCount() API的返回值。

WUDHostUpgrade[xx].exe

WUDHostUpgrade[xx].exe首先会检查mutex{502CBAF5-55E5-F190-16321A4},以确定系统是否已经感染了最新版本的NRSMiner。如果已经感染,WUDHostUpgrade[xx].exe将自行删除。如果未感染,它将删除MarsTraceDiagnostis.xml、snmpstorsrv.dll、MgmtFilterShim.ini文件。

接下来,它会将MarsTraceDiagnostics.xml和snmpstorsrv.dll从其资源部分(BIN目录)提取到%systemroot%system32或%systemroot%sysWOW64文件夹。

然后,它将从svchost.exe复制CreationTime、LastAccessTime和LastWritetime属性的值,并用复制的值更新MarsTraceDiagnostis.xml和snmpstorsrv.dll对应的属性。

最后,它将创建一个名为“snmpstorsrv”的服务,其中snmpstorsrv.dll注册为servicedll,并删除自身。

Snmpstorsrv服务

新创建的Snmpstorsrv服务在“svchost.exe -k netsvcs”下启动并加载snmpstorsrv.dll文件,而该文件将创建多个线程,以执行多种恶意活动。

它首先在%systemroot%system32文件夹中创建一个名为“MgmtFilterShim.ini”的文件,并将其CreationTime、LastAccessTime和LastWritetime属性修改为与svchost.exe对应属性相同的值。

接下来,它将从MarsTraceDiagnostis.xml中提取恶意URL和挖掘模块的配置文件。

对于已被旧版本NRSMiner感染的系统,Snmpstorsrv服务将删除旧版本NRSMiner的所有组件,然后再使用最新版本重新感染系统。在删除旧版本的所有组件之后,Snmpstorsrv服务将通过以下链接,检查挖掘模块是否已经更新:

l reader[.]pamphler[.]com/resource

l handle[.]pamphler[.]com/modules.dat

新的挖掘模块并将被下载并写入MarsTraceDiagnostis.xml文件。在下载新模块之后,它将删除%systemroot%system32TrustedHostex.exe中的旧模块,然后将新模块注入到svchost.exe,以进行挖矿。

方法2:通过Wininit.exe和EternalBlue漏洞进行感染

在最新版本的NRSMiner中,Wininit.exe负责处理漏洞利用和传播。首先,Wininit.exe会将压缩数据解压到%systemroot%AppDiagnoticsble.xml中,并将文件解压到AppDiagnotics文件夹中。解压文件中有一个名为svchost.exe的文件,它是EternalBlue2.2.0漏洞利用程序的可执行文件。然后,它将删除ble.xml文件,并在AppDiagnotics文件夹中写入两个名为x86.dll和x64.dll的新文件。

Wininit.exe首先会通过扫描TCP端口445上的本地网络来搜索其他可访问的系统,然后执行EternalBlue漏洞利用程序的可执行文件。

如果漏洞利用成功,Wininit.exe将执行spoolsv.exe,这是DoublePulsar-1.3.1的可执行文件。它会将DoublePulsar后门安装到目标系统上。根据操作系统的不同,对应的x86.dll或x64.dll文件随后通过将Wininit.exe传输,并通过spoolsv.exe后门注入目标系统的lsass.exe。

x86.dll/x64.dll

该文件将创建一个套接字连接,并从受感染的系统中获取%systemroot%system32文件夹中的MarsTraceDiagnostis.xml文件。此外,它还将提取snmpstorsrv.dll,然后在新感染的系统上创建并启动Snmpstorsrv服务,以查找并感染其他系统。

挖矿模块

最新版本的NRSMiner使用XMRig Monero CPU挖矿程序来挖掘门罗币(Monero)。它通过如下参数中的一个来运行:

下面是参数中使用的开关:

l -o, –url=URL 挖矿服务器URL

l -u, –user=USERNAME 挖矿服务器用户名

l -p, –pass=PASSWORD 挖矿服务器密码

l -t, –threads=N 挖矿程序线程数

l –donate-level=N 捐赠水平,默认5%

l –nicehash 启用nicehash.com支持

缓解措施

对于普通计算机用户而言,为了避免感染NRSMiner,我们有必要安装由微软发布的安全补丁。如果认为安装这些补丁会导致系统运行出现问题,那么至少应该禁用SMBv1,以避免受到EternalBlue(永恒之蓝)漏洞的影响。

本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。

本文暂时没有评论,来添加一个吧(●'◡'●)

欢迎 发表评论:

最近发表
标签列表