虚拟货币矿机利用Windows SMB漏洞恶意传播分析报告 – 作者:TideSec

1. 样本描述

该恶意软件利用WindowsSMB漏洞传播，释放虚拟货币矿机挖矿的肉鸡集群，并伪装成系统进程spoolsv.exe，其自身在释放攻击载荷之后，还会开启对局域网络445端口的疯狂扫描，一旦发现局域网内开放的445端口，就会将目标IP地址及端口写入EternalBlue的配置文件中，然后进行溢出攻击。感染者将根据矿池地址和矿机账号为宿主进行淘金！

2. 样本分析

1、通过对系统进程检查发现spoolsv.exe是一个压缩文件，使用zip解压此文件后，发现了NSA攻击工具包。同时在解压之后的文件中也找到了与样本同名的两个可执行体，以及同名的xml配置文件。

spoolsv.exe并非简简单单的释放攻击包，其自身在释放攻击载荷之后，还会开启对局域网络445端口的疯狂扫描，一旦发现局域网内开放的445端口，就会将目标IP地址及端口写入EternalBlue的配置文件中，然后启动svchost.exe进行第1步溢出攻击。第1步攻击的结果会记录在stage1.txt中，攻击完成后，母体会检查攻击是否成功，若攻击成功，则继续修改DoublePulsar的配置文件，并启动spoolsv.exe（压缩包内的DoublePulsar，并非母体）在目标计算机安装后门，此称之为第2步攻击，结果会记录在stage2.txt中。

被安装了DoublePulsar后门的计算机中lsass.exe进程被注入了一段shellcode，这和外网公布的DoublePulsar的行为一模一样，但样本中的这段shellcode利用lsass.exe进程在局域网被感染的其他计算机上下载了另一个神秘的可执行文件：

在局域网其他电脑上下载一个母体文件，以便于二次传播。第三，释放一个ServicesHost.exe进程并以指定的参数执行这个进程。

继续跟踪这个ServicesHost.exe以及启动参数，从此程序的启动参数中看到了一个国外各种数字货币的矿池，网站提供了各种数字货币的矿池地址，只要在网站注册账户，就可以利用矿机参与挖矿，挖的正式一种不是很常见的数字货币——门罗币。