本帖最后由 360主动防御 于 2018-5-18 15:28 编辑
一:木马概述 360安全中心近期捕获一类“伪装者”挖矿木马,该类木马使用了微软工具包中的 srvany.exe白文件做掩护,隐藏在系统服务中,令部分杀软无法扫描查杀该木马。 此外,该类木马还携带了多个漏洞攻击武器,包括NSA武器库中的EternalBlue (永恒之蓝) 、Eternalchampion(永恒冠军),以及双脉冲星(DoublePulsar) 等重火力攻击利器。据此,360安全中心将该木马命名为NSASrvanyMinner。 据监测,该类木马目前十分活跃,360安全卫士每天拦截次数已达上万次。木马运行后,除了进行挖矿外,还可执行远程控制操作,对设备的危害极大。
二:木马分析 木马是用易语言所写,运行后释放两个木马文件,第一个是用于远控电脑(muma.exe),第二个是用来挖矿(rasm.exe)。 1、 muma.exe运行后从云端下载下载木马核心加密的DLL程序,解密后进行内存加载运行,这个DLL解密分析发现是大灰狼远程控制的变种。 调用木马导出函数传入上线反弹地址: 木马支持远程控制计算机功能,还支持检测杀毒软件: 2、 木马rasm.exe运行后会通过白利用(微软的srvany.exe文件)做启动项自动启动XMR挖矿程序(CPUInfo.exe),并释放扫描器和漏洞利用工具来实现自动传播(a1.exe来实现)。
srvany.exe是Microsoft Windows Resource Kits工具集的一个实用的小工具,用于将任何EXE程序作为Windows服务运行,木马将它用来自动启动挖矿软件: 带的5款漏洞利用工具: CPUInfo.exe会释放并调用csrs.exe(实际就是xmrig.exe)挖矿工具进行挖矿,启动参数如下,包含链接矿池和钱包地址: -o stratum+tcp://minero.posthash.org:8080 -o stratum+tcp://note.posthash.org:443 -o stratum+tcp://note1.posthash.org:5555 -u 43BEKp4t8km3wEBasxmPMcV5n5XPPjRN4VcicaSwKZkTHxKzc4hTYwd3tyqR8SLZahfuSsTeJEG3fcEMnX3jA1F86iao1GU -p x 三:安全提醒 近期挖矿木马非常活跃,让人防不胜防。建议用户及时打上系统补丁,发现电脑卡慢等异常情况时候使用安全软件扫描,同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招,尽快使用安全软件查杀清除木马
|