国内遭NSASrvanyMinner挖矿木马攻击:病毒利用微软白文件全副武装
- 2018-05-18 11:48:01
近日,360安全中心监测到了一类挖矿木马在国内异常活跃,此类木马不光利用了微软白文件srvany.exe逃避杀毒软件的扫描,而且还利用了美国NSA武器库中的好几个漏洞利用工具把自己全副武装,使用户电脑极易受到此类病毒的攻击。因此,360安全中心研究员将此类挖矿木马命名为NSASrvanyMinner。
360的安全专家在监测到此挖矿木马的活动后对病毒样本进行了分析。分析发现,此类木马为易语言所编写,该病毒程序在受害者电脑上运行后会释放两个木马文件,第一个文件muma.exe可被攻击者用来远程控制用户电脑,第二个文件rasm.exe则被用来在受害者电脑上实施挖矿。
文件muma.exe在受害者电脑上运行后会从云端下载木马核心加密的DLL程序,此程序解密后会进行内存加载运行。专家经解密分析后发现该程序为大灰狼远程控制的变种。该木马程序不仅支持攻击者远程控制用户电脑,还能支持检测杀毒软件。
图1:远程控制木马下载核心加密DLL地址
图2:调用木马导出函数传入上线反弹地址
图3:木马支持远程控制计算机功能,还支持检测杀毒软件
第二个木马文件rasm.exe在用户电脑上运行后,会通过利用微软白利用srvany.exe文件做启动项,从而自动启动挖矿程序CPUInfo.exe,并且释放扫描器和各种漏洞利用工具来实现自动传播。
图4:利用srvany.exe来自动启动挖矿软件(srvany.exe是Microsoft Windows Resource Kits工具集的一个实用的小工具,用于将任何EXE程序作为Windows服务运行)
图5:木马自带包含“永恒之蓝”在内的5款漏洞利用工具
挖矿程序CPUInfo.exe会释放并调用csrs.exe(实际就是xmrig.exe)挖矿工具进行挖矿,启动参数如下所示(包含链接矿池及钱包地址):
-o stratum+tcp://minero.posthash.org:8080
-o stratum+tcp://note.posthash.org:443
-o stratum+tcp://note1.posthash.org:5555
-u 43BEKp4t8km3wEBasxmPMcV5n5XPPjRN4VcicaSwKZkTHxKzc4hTYwd3tyqR8SLZahfuSsTeJEG3fcEMnX3jA1F86iao1GU
-p x
图6:CPUInfo.exe进行挖矿
360安全提示
近期,国内挖矿木马非常活跃,让人防不胜防。360安全卫士建议用户及时打上系统补丁,发现电脑卡慢等异常情况时使用安全软件扫描,同时注意保证安全软件的常开以进行防御,一旦受攻击者诱导而不慎中招,请尽快使用360安全卫士查杀清除木马。
此外,360安全卫士已经推出了挖矿木马防护功能,此功能可全面防御从各种渠道入侵的挖矿木马。用户开启该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机安全保驾护航。
v