NSABuffMiner挖矿木马变种利用NSA武器库攻击企业网络

一、简述

　　最近腾迅御见威协情报中心收到用户满意度，公司內部很多设备均被无缘无故建立了帐户名叫“mm123$”的客户。历经当场搜集直接证据及其互联网大数据追溯，人们发觉它是NSABuffMiner的新变异，该变异已然成为了1个精心策划挖币僵尸网络。尽管早就在2018年9月，腾讯安全官方网站现有有关公布，可是该病毒感染大家族仍在不断升级活跃性。根据腾迅安图能够发觉该挖币木马病毒的感柒量在稳步增长，如图所示。

　　该病毒感染孕妈的标志与文档信息内容均掩藏为“某防护软件安全防护管理中心控制模块”，促使客户坚信该文档是1个安全性一切正常文档，便于躲过手工制作杀毒。该病毒感染运作以后，大会上传系统软件基本信息，占有系统软件一部分資源开展挖币，一部分資源用以向内部网与外网地址另外外扩散进攻，进攻取得成功后，将被攻占的设备转为“肉食鸡”以实行所述故意个人行为，循环反复。

　　二、样版剖析

　　因为病毒感染孕妈释放出来文档较多，逻辑性比较繁杂，因而画了1个文档关联流程表有利于了解，给出图示。

　　病毒感染孕妈运作后，会释放出来掩藏名叫的程序流程与NSSM服务项目可视化工具（掩藏名叫，下列为了更好地叙述，取名为svchost[fake]）、及其具备“下载工具”作用的到系统盘下的%SystemRoot%\Fonts文件目录，该文件目录因为其仅显示信息字体文件的多样性，常被病毒感染用以掩藏本身。掩藏名叫的程序流程会根据服务项目的方式，由病毒感染孕妈启用svchost[fake]安裝名叫后拉上实行，会根据“某云笔记”的共享盘免费下载4个病毒感染并实行，从而保持内部网横着外扩散。

　　病毒感染被系统软件白系统进程免费下载出来后立即被执行起來，再次释放出来好几个子控制模块，主要用于运用永恒之蓝系统漏洞开展内部网与外网地址横着进攻散播，以后再次免费下载病毒感染孕妈或是有关控制模块不断实行详细的故意逻辑性，包含搜集系统软件基本信息、占有资源开展挖币、向外界设备进行进攻、清除当场印痕防追溯等几种故意个人行为。

　　1. 病毒感染孕妈的关键个人行为给出：

　　l 建立了2个具备“系统进程撤出则再度拉上”特点的服务项目，1个名叫MetPipAtcivator的服务项目用以拉上[fake1]，1个名叫MicrosoftMysql的服务项目用以实行挖币程序流程。

　　l 起动MetPipAtcivator服务项目。

　　l 实行。

　　l 运作删掉孕妈与本身。

　　2. [fake1]病毒感染控制模块当做监控器者与释放者的人物角色，根据1个循环反复开展给出实际操作：

　　l 启用taskkill指令用以完毕给出有关测试工具。

　　l 将依据系统软件十位数相匹配释放出来开源系统门罗币挖币程序流程xmrig于%SystemRoot%\fonts\，掩藏为系统软件名不易被发觉。

　　l 后台管理始终检验给出特殊系统进程名，假如存有则完毕挖币系统进程，避免被发觉。

　　l 根据启用svchost[fake]设定名叫SetPipAtcivator的服务项目用以长驻系统软件，随后起动该服务项目。该挖币病毒感染启用了nicehash主要参数，用以获得虚拟币。挖币命令行参数为：-ostratum+tcp:// -o stratum+tcp://s.csrss.website:443 -u admin-p x -k –donate-level=1 –max-cpu-usage=50 –print-time=5 –nicehash

　　3. 当做下载者人物角色，根据改动有关部件特性以超过保证逻辑性能一切正常进行，改动系统设置以超过占有资源，免费下载病毒感染，清掉印痕。给出为该脚本制作关键流程：

　　l 起动服务项目MetPipAtcivator，用以拉上病毒感染控制模块。

　　l 获得， 良好的控制管理权限而且删掉相匹配的映像劫持，保证事件一切正常启用脚本制作免费下载病毒感染。

　　l 根据改动ipsec对策回绝全部联接连入当地共享资源端口号，及其根据对于市面普遍的挖币病毒感染大家族设定重名文件夹名称以占坑、删掉其长驻服务项目、完毕其系统进程等方法，以超过占有資源的目地。

　　l 删掉FTP部件，避免被别的病毒感染运用。

　　l 启用免费下载被病毒感染创作者故意储存在有道云笔记中的病毒感染共享文件，免费下载、、、至%SystemRoot%\temp文件目录下运作。

　　l 清除事件日志中的powershell实行系统日志、安全日志、系统日志等，避免追溯。

　　4. 用以删掉病毒感染孕妈及其本身。

　　下边人们再次剖析其根据“有道云笔记”共享盘免费下载控制模块的作用与逻辑性：

　　5. [fake]释放出来好几个控制模块用以向内部网进行系统漏洞进攻从而外扩散。

　　l 终止删掉wannacry等普遍高风险病毒感染大家族有关服务项目与系统软件高风险服务项目，保证仅有本身占有資源，有关字符数组给出图示。

　　l 释放出来并实行[fake2]

　　l 释放出来用以删掉孕妈和本身

　　l 释放出来用以实行完系统漏洞进攻专用工具后清除当场

　　6. 有关控制模块用以向内部网扫描仪并进行进攻。

　　l [fake2]释放出来程序流程。会释放出来NSA进攻控制模块与，多核扫描仪局域网络内的445端口号，并试着根据NSA进攻控制模块对对外开放139或445端口号的设备进行系统漏洞进攻。假如进攻取得成功，将会把引入到总体目标系统软件，从而实现病毒下载。

　　l 清除全部临时性文件目录、IE缓存文件、c盘等避免被追溯。

　　l 启用cipher常用工具促使被删掉的病毒感染文档没法被修复。

　　7. 做为系统漏洞进攻专用工具的荷载，在总体目标系统软件实行故意个人行为。

　　l 建立1个具备管理员权限的名叫“mm123$”的帐户用以事件随便浏览服务器。

　　l 依据系统软件版本号的十位数，从免费下载相匹配的32位程序流程（、）或64位程序流程（、）到c:\Windows，掩藏名叫与。

　　8. /用以释放出来故意动态性库，并使其做为服务项目长驻系统软件。

　　l 将反序储放的1个子PE释放出来任意名dll到system32文件目录下

　　l 假如找不到，则载入该释放出来的dll并实行install涵数，等候到时候重新启动开启病毒感染主逻辑性，接着自删掉，不然不实行该涵数并将本身更名并挪动到system32下，根据设定延迟时间保持自删掉，随后启用实行任意名dll的MainThread涵数，有关编码逻辑性给出图示。

　　9. 是病毒感染孕妈，已不过多阐释。人们能够从图中见到编译时间戳为2019年4月25日。

　　10. 任意名dll，由“”或“”程序流程释放出来，具备好几个导出来涵数，关键导出来涵数內容给出上述。

　　l install导出来涵数将本身设成服务项目，隶属小队在建的ctfmon组，随后起动服务项目。

　　l MainThread导出来涵数，建立互斥量：“”，将获得计算机名、CPU信息内容、系统软件版本号、命里杀软名信息内容、已启动时间、cftmon服务项目安裝信息内容等，历经简易异或求和数据加密后面再上传入，具备免费下载病毒感染的工作能力，实际逻辑性如图所示。

　　11. 、具备类似的个人行为逻辑性，关键作用给出。

　　l 释放出来文档并保持将映像劫持到C:\Windows\Fonts\，

　　l 释放出来文档并保持将映像劫持到C:\Windows\Fonts\，

　　从目前来看，因为被释放出的与控制模块，均因为是个带登陆密码的自解压包，就算根据映像劫持获得执行权依然没法一切正常运作，而且因为这2个自解压包里边仅是1个txt文字，因而人们猜想事件这2个控制模块能够灵便调节为其他病毒感染控制模块。

　　12. 由释放出来，其自身都是释放者。

　　l 释放出来了NSA进攻部件、好几个bat脚本制作与掩藏名叫“”的端口扫描工具。

　　l 实行了刚释放出的%SystemR

l 安裝并起动MicrosoftMysql服务项目用以实行。

　　l 建立了2个SYSTEM管理权限的任务计划，用以实行和。

　　l 根据改动tasks文件目录下的特殊文件属性，以超过停用bulehero挖币木马病毒等大家族而且阻拦特殊名字任务计划的载入。

　　l 完毕wannacry等高风险病毒感染大家族、他挖币病毒感染大家族的系统进程、本身系统进程（用以升级本身），及其删掉相匹配的程序流程，并改动其特性与管理权限以严禁运作等。

　　l 伪造hosts文档用以被劫持给出矿池网站域名到，猜想根据改动json的钱夹详细地址用以被劫持矿池。

　　l 根据腾迅安图能够查出该ip偏向indoneminer的网站域名（有关汇报能够根据底端引证查询）。

　　l 建立了的2个SYSTEM管理权限的任务计划，用以实行和

　　会启用svchost[fake]重装名叫MicrosoftMysql用以拉上

　　会启用svchost[fake]安裝名叫MicrosoftMssql用以拉上

　　循环系统启用、、[fake]等好几个部件，打开450个进程向该机外网网段设备的139，445端口号进行扫描仪，假如检验到端口号对外开放则会启用NSA进攻控制模块开展进攻，进攻取得成功则将或 引入到总体目标系统软件。

　　会从这当中包括的24450个网段信息内容中，任意提取14个國家的网段，随后启用、、[fake]等好几个部件打开400个进程开展139，445端口号的扫描仪，假如检验到端口号对外开放则会启用NSA进攻控制模块开展进攻，进攻取得成功则将或（事实上是所述第7点的与） 引入到总体目标系统软件。

　　14. 、做为系统漏洞进攻的有效载荷，免费下载病毒感染以反复保持所述故意逻辑性。

　　l 关键保持下载工具作用，免费下载病毒感染的详细地址与储放相对路径给出图示。

　　l 逻辑性同上基本相同。

　　15. 所述2个dllpayload：、免费下载的好几个病毒感染的作用个人行为给出上述。

　　l 释放出来好几个bat部件，如所述第12、13点剖析相同，保持再度根据系统漏洞进攻开展外扩散。

　　l 建立名叫服务项目长驻系统软件，挖币指令个人行为：-o tgoodluck.info:1238 -o twangzhan.website:1238 -u 1 -p x -k

　　l 是远程控制程序流程，建立名叫RpcEpt 的服务项目长驻系统软件，搜集的系统软件信息内容与所述第10点剖析基本相同，并在异或求和数据加密以后发送到：，具备免费下载病毒感染的作用，与所述第10点剖析基本相同。

　　三、追溯剖析

　　NSABuffMiner在最新更新的样版中，增加1个免费下载控制模块，另外免费下载NSABuffMiner与IndoneMiner2个大家族的NSA进攻武器装备开展进攻，在其中应用NSABuffMiner的进攻控制模块进攻内部网IP，应用IndoneMiner的进攻控制模块进攻外网地址IP。

　　近一歩剖析发觉，2个大家族的最开始出現時间同样，都为2018年7月，且都应用了偏向湖南长沙的下载链接（与），偏向日本的矿池详细地址（与），上述推断2个大家族的进攻来源于为相同犯罪团伙。最新消息的样版中应用到2个大家族的IOCs给出：

　　1) NSABuffMiner大家族：

　　l s.csrss.website:443

　　2) IndoneMiner大家族：

　　l tgoodluck.info:1238

　　l twangzhan.website:1238

　　四、安全性提议

　　1、网络服务器关掉多余的端口号，比如139、445端口号等。

　　2. 手动式安裝“永恒之蓝”漏洞补丁请浏览下列网页页面

　　在其中WinXP，Windows Server2003客户请浏览

　　https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

　　3、强烈推荐公司客户布署腾迅御界高級威协监测系统防御力将会的黑客攻击。御界高級威协监测系统，是根据腾迅反病毒试验室的安全性工作能力、借助腾迅在云和web端海量信息，产品研发出的与众不同威协谍报和故意检验实体模型系统软件。