Souleman矿工利用永恒之蓝漏洞攻击企业，通过三招获利超27万元

腾讯电脑管家

一、背景

腾讯安全威胁情报中心发现利用永恒之蓝漏洞攻击传播的挖矿木马SoulemanMiner。该挖矿木马在2020年1月开始出现，攻击时利用永恒之蓝漏洞在内网攻击传播，攻击成功后会继续下载由XMRig编译的门罗币挖矿程序。SoulemanMiner挖矿木马运行时，会结束其他挖矿木马进程以独占资源。

对SoulemanMiner使用的下载服务器上的样本进行分析，还发现了在攻击时传播的窃密木马AZORult和盗取数字货币的木马Bitcoin-Grabber。AZORult会从浏览器、邮件和各类客户端软件中获取登录密码并上传至远程服务器，Bitcoin-Grabber或将剪切板中的比特币、以太坊币、莱特币、门罗币等多个类型的数字钱包地址进行替换，企图在用户进行交易时盗取相应的数字货币。

通过公开的钱包地址查询交易历史记录，发现SoulemanMiner挖矿木马团伙已通过挖矿和剪切板劫持数字交易获利超过27万元人民币。

二、安全建议与解决方案

腾讯安全专家建议企业用户尽快修复永恒之蓝相关安全漏洞，避免挖矿木马利用漏洞在局域网内扩散；网管可以关闭内网暂时非必要的端口（如135、139、445、3389等），减少网络攻击面；使用腾讯T-Sec终端安全管理系统及腾讯电脑管家均已支持对SoulemanMiner的查杀。企业用户还可使用腾讯安全系列产品对网络流量进行检测，及时发现内网挖矿行为。

腾讯安全系列产品应对SoulemanMiner挖矿木马的响应清单如下：

更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/

三、样本分析

SoulemanMiner在失陷机器解压new3.exe释放 “双脉冲星”、“永恒之蓝”漏洞攻击工具，以及1x64.dll、1x86.dll、2x64.dll、2x86.dll、3x64.dll、3x86.dll共6个Payload文件。

攻击包安装完成后，启动rundll.exe开始攻击。该文件采用Pyinstaller打包生成，我们利用开源工具pyinstxtractor.py解压文件，然后利用Easy Python Decompiler对解压出的pyc文件进行反编译得到rundll.py。

rundll.py获取本机IP地址。

针对本机IP的同A、B网段（遍历C、D网段）地址进行445端口扫描，保存结果至Result.txt。

使用“双脉冲星”、“永恒之蓝”漏洞攻击工具进行攻击。

漏洞攻击成功后，针对三组不同的IP地址，植入不同的Payload文件。

1.挖矿

Payload在目标系统执行后，分别下载x.rar、y.rar、z.rar，保存至c:\programdata\lsass4.exe

并运行。下载地址如下：

http[:]//178.32.53.209/x.rar

http[:]//178.32.53.209/y.rar

http[:]//178.32.53.209/z.rar

x.rar、y.rar、z.rar是利用NSIS生成的可执行文件，通过解压可以看到

Parameters.ini里面是配置信息：

[hash]
value=1H2568C51JA87C1930183BD17AA4L2Q6
[commentary]
value=!Koronavirus_B_Newdomen!
[Description]
[DisplayName]
[ServerHS]
0=2.blackhohol.online
1=km2.maxvarlamoff.club
2=2.soulemanivsusa.xyz
3=km2.dancingblack.online
[mincorecount]
value=2
[DateTime]
InstallSvc=31.08.666 21:35:13
[mainer_dir]
value=C:\Windows\
[AutoCloseProcessTimer]
value=1000

Processlist.txt是检测运行环境是否存在监控进程：

taskmgr.exe
ProcessHacker.exe
perfmon.exe
procexp.exe
procexp64.exe
procexp32.exe
resmon.exe
autoruns.exe
procmon.exe
aida64.exe
rpexplorer.exe
anvir.exe

AutoCloseExe.txt是需要杀死的竞品挖矿进程名单，包括WannaMiner等：

C:\Windows\System32\SearchIndexer.exe
C:\Windows\System32\WUDFHost.exe
C:\Windows\Fonts\runhost.exe
C:\Windows\debug\winlogond.exe
C:\Windows\System32\dllhost.exe
C:\Windows\System32\msdtc.exe
C:\Windows\System32\ctfmon.exe
C:\Windows\System32\TrustedHostex.exe
C:\Windows\System32\SearchProtocolHost.exe
C:\Windows\System32\wuauclt.exe
C:\Windows\YZebx\Xs.exe
C:\Windows\odeZP\dW.exe
C:\Windows\dwVSF\TW.exe
C:\Windows\AppDiagnostics\wininit.exe
C:\Windows\AppDiagnostics\svchost.exe
C:\Windows\SysWOW64\InstallShield\setup.exe
C:\ProgramData\Microsoft\clr_optimization_v4.0.30318_64\csrss.exe
C:\Windows\Fonts\Mysql\svchost.exe
C:\ProgramData\clr_optimization_v4.0.30318_64\svchost.exe
C:\Windows\svchost.exe
C:\Windows\SysWOW64\svchost.exe
C:\Windows\Fonts\Mysql\puls.exe
C:\Windows\System32\WUDFHostex.exe
C:\Program Files\Microsoft Security Client\MpCmdRun.exe
C:\Windows\Fonts\d1lhots.exe
C:\Windows\kkOqZ\wM.exe
C:\Windows\SysWOW64\Application.exe
C:\Windows\XIPNL\EM.exe
C:\Windows\MicrosoftUpdateLink.exe
C:\Windows\System32\dllhostex.exe

从NSIS脚本中可以看到，样本执行后会释放conhost.exe等文件到C:\Windows\System32\drivers\目录下，然后将conhost.exe安装为服务“WinsockSvc”启动。

conhost.exe会检测是否存在Processlist.txt的监控进程，杀死AutoCloseExe.txt中的竞品挖矿进程，然后从Parameters.ini配置的服务器地址下载挖矿木马http[:]//178.32.53.209/xm64.zip。

下载得到由开源挖矿程序XMRig编译而成的挖矿木马。

2.窃密

分析发现，SoulemanMiner使用的服务器185.228.83.153还传播除挖矿外的其他木马http[:]//185.228.83.153/st.exe，st.exe通过自解压释放自身到全局启动目录C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\。

st.exe采用Delphi编写的窃密木马AZORult，运行后会窃取以下信息加密后发送至C2服务器：http[:]//soulemanivsusa.xyz/32/index.php

1) 窃取保存在浏览器中的各类密码

2) 窃取数字加密货币钱包

3) 窃取浏览器历史记录

4) 盗取网站cookie

5) 窃取电子邮件登陆账号密码

6) 窃取Telegram、Steam密码

7) Skype密码和聊天记录

8) 获取中招机器屏幕截图

9) 执行自定义命令

3.盗取数字货币

通过服务器下载的另一样本http[:]//185.228.83.153/777.exe，自解压得到svhosts.exe，同样安装到全局启动目录下。svhosts.exe是采样C#编写的数字货币盗取程序（也称剪切板劫持木马）Bitcoin-Grabber。

Bitcoin-Grabber实时监测获取电脑剪切板内容，通过正则匹配发现其中的数字加密货币地址，并将匹配到的不同类型钱包地址替换成木马的钱包地址，以便在用户进行转账时盗取数字货币。

盗取数字货币用的钱包地址如下：

通过公开的矿池、交易历史可查到的信息，该木马的部分钱包通过盗取和挖矿已获利超过27万元人民币。

IOCs

IP

116.203.240.6

178.32.53.209

185.228.83.153

Domain

klicoverof.world

handler1.soulemanifight.club

3.soulemanifight.club

2.soulemanifight.club

1.soulemanifight.club

1.blackhohol.online

2.blackhohol.online

km1.maxvarlamoff.club

km2.maxvarlamoff.club

km1.koronavirusfuck.xyz

km2.koronavirusfuck.xyz

km2.dancingblack.online

1.novichok.xyz

2.novichok.xy

1.soulemanivsusa.xyz

2.soulemanivsusa.xyz

soulemanivsusa.xyz

Md5

2662452d7f77c434b185040575c87932

fdae88d3a3e21ab29f0e4390f960543c

fb59c96176c1453cd2a05eadb8368026

a8f757a0a871b2aaca3535f16f0c8b66

b9ae13778f36534ddfeccf7329f4f62e

04d04cbd71f45ad36a03fd9a3a761055

1ed7e0fdd1e072cb92b8115579aac391

8c50dabe5dd305d1f6d28f5164075ff7

0f38c4b35c4f830ba14d9237bf82af56

6fa76c8b29b4da063766d2e6df001ed6

04ac52778d6871d24a5dc957a41d84fd

4cf0ff9887c3e7de5d4c0ed9674d2903

67a7c1c24de0026b9d367fc5f0048a0e

6fa76c8b29b4da063766d2e6df001ed6

8ab5c496b795f12526e7ae0bf26365fb

URL

http[:]//178.32.53.209/x.rar

http[:]//178.32.53.209/y.rar

http[:]//178.32.53.209/z.rar

http[:]//185.228.83.153/new3.exe

http[:]//3.soulemanifight.club/z.rar

http[:]//185.228.83.153/xm32.zip

http[:]//178.32.53.209/777.exe

http[:]//185.228.83.153/777.exe

C2

http[:]//soulemanivsusa.xyz/32/index.php