查看: 1834|回复: 1
收起左侧

[技术原创] 伪装者”NSASrvanyMinner: 利用微软白文件躲避查杀的挖矿木马

[复制链接]
360主动防御
发表于 2018-5-18 15:25:59 | 显示全部楼层 |阅读模式
本帖最后由 360主动防御 于 2018-5-18 15:28 编辑

一:木马概述
360安全中心近期捕获一类“伪装者”挖矿木马,该类木马使用了微软工具包中的 srvany.exe白文件做掩护,隐藏在系统服务中,令部分杀软无法扫描查杀该木马。
此外,该类木马还携带了多个漏洞攻击武器,包括NSA武器库中的EternalBlue (永恒之蓝) 、Eternalchampion(永恒冠军),以及双脉冲星(DoublePulsar) 等重火力攻击利器。据此,360安全中心将该木马命名为NSASrvanyMinner。
据监测,该类木马目前十分活跃,360安全卫士每天拦截次数已达上万次。木马运行后,除了进行挖矿外,还可执行远程控制操作,对设备的危害极大。

二:木马分析
木马是用易语言所写,运行后释放两个木马文件,第一个是用于远控电脑(muma.exe),第二个是用来挖矿(rasm.exe)。
1、 muma.exe运行后从云端下载下载木马核心加密的DLL程序,解密后进行内存加载运行,这个DLL解密分析发现是大灰狼远程控制的变种。
调用木马导出函数传入上线反弹地址:
木马支持远程控制计算机功能,还支持检测杀毒软件:
2、 木马rasm.exe运行后会通过白利用(微软的srvany.exe文件)做启动项自动启动XMR挖矿程序(CPUInfo.exe),并释放扫描器和漏洞利用工具来实现自动传播(a1.exe来实现)。

srvany.exe是Microsoft Windows Resource Kits工具集的一个实用的小工具,用于将任何EXE程序作为Windows服务运行,木马将它用来自动启动挖矿软件:
带的5款漏洞利用工具:
CPUInfo.exe会释放并调用csrs.exe(实际就是xmrig.exe)挖矿工具进行挖矿,启动参数如下,包含链接矿池和钱包地址:
-o stratum+tcp://minero.posthash.org:8080
-o stratum+tcp://note.posthash.org:443
-o stratum+tcp://note1.posthash.org:5555
-u 43BEKp4t8km3wEBasxmPMcV5n5XPPjRN4VcicaSwKZkTHxKzc4hTYwd3tyqR8SLZahfuSsTeJEG3fcEMnX3jA1F86iao1GU
-p x
三:安全提醒
近期挖矿木马非常活跃,让人防不胜防。建议用户及时打上系统补丁,发现电脑卡慢等异常情况时候使用安全软件扫描,同时注意保证安全软件的常开以进行防御一旦受诱导而不慎中招,尽快使用安全软件查杀清除木马



wowocock
发表于 2018-5-18 16:19:10 | 显示全部楼层
各种白利用将会成为挖矿木马的喜闻乐见。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 08:33 , Processed in 0.145612 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表