NSAMsdMiner利用永恒之蓝攻击企业内网，窃取机密挖矿牟利双管齐下

概述

近期腾讯安全御见威胁情报中心捕获到新的挖矿木马家族，该木马使用NSA武器的永恒之蓝、永恒浪漫、永恒冠军、双脉冲星4个 工具 进行攻击传播。攻击者可完全控制中毒电脑，窃取企业机密信息，并利用中毒电脑资源运行门罗币挖矿程序，该病毒还同时具有劫持其他挖矿木马工作成果的能力。腾讯电脑管家、腾讯御点终端安全管理系统均可查杀该病毒。

攻击者利用漏洞攻陷目标机器后，playload从位于某云服务器下载Windowsd.exe(攻击模块)、work.exe（远程控制模块）、mm.exe(门罗币挖矿模块，32位系统下载的是XMR-NOSSL-x86.exe)到C:\programdata目录下，以子进程方式运行。

由于此次的木马特点为使用NSA武器攻击传播，并且将最终的挖矿程序伪装成微软系统服务msdtc.exe进行启动，因此腾讯安全御见威胁情报中心将其命名为NSAMsdMiner。NSAMsdMiner具有以下特点：

1、利用NSA武器中的4款工具在内网横向攻击扩散；

2、植入由Gh0st修改而成的远程控制木马，该木马可完全中毒电脑获取敏感信息，包括录音、截图、屏幕录像、下载运行其他恶意程序；

3、挖矿程序伪装系统服务msdtc.exe启动，在中毒电脑进行门罗币挖矿操作；

4、试图通过修改矿池映射的ip地址，来劫持其他挖矿程序的收益。

腾讯御见威胁情报中心监测数据表明，本次攻击主要影响浙江、广东、湖北等地的电脑。

攻击流程

NSAMsdMiner攻击流程

详细分析

windowsd.exe(temp3.exe)

1、释放文件

在C:\WINDOWS\Fonts\Mysql目录下释放3个批处理文件、端口扫描工具、NSA漏洞攻击工具、playload、下载程序wget。

2、创建子进程

运行mysql.bat批处理程序，主要功能为删除感染过NSAMsdMiner病毒上老的服务MicrosoftMysql和计划任务，使用nssm（微软服务管理工具）程序安装cmd.bat为新的服务MicrosoftMysql，开启服务；使用at命令添加新的任务cmd.bat。

3、cmd.bat批处理程序

从hxxp://45.35.4.107/ip.php、hxxp://2019.ip138.com/ic.asp两个地址查询出口ip以及本机ip，获取要扫描的ip地址前2段，拼接后面2段地址，扫描455和450端口，结果保存在ips.txt中，调用load.bat脚本攻击。

4、load.bat批处理程序

释放的工具中含有Esteemaudittouch，但load.bat脚本中并未调用,只调用了永恒之蓝、永恒浪漫、永恒冠军、双脉冲星漏洞攻击工具。

mm.exe(temp2.exe)： 

1、释放文件

在C:\WINDOWS\Fonts\Wbem目录下释放文件，包括挖矿程序、注入的dll文件(分64位和32位)、ipp.exe(功能和work.exe相同)。

2、创建子进程

调用1.bat批处理文件：

运行ipp.exe(功能和work.exe相同)

3、修改注册表AppInit_DLLs进行dll注入，注册表32位、64位都做了修改分别对应SecureAssessmentHandler.dll和SecureAssessmentHandlerstor.dll。

4、关闭防火墙。

5、将挖矿程序xx.exe程序拷贝至c:\ProgramData\Microsoft\Windows\GameExplorer\msdtc.exe，安装为系统服务启动，挖矿门罗币。

经检测矿机版本为XMRig 2.14.1：

钱包，查询钱包仅挖到0.2个门罗币，相当于一百多人民币

4B6RmDfGQy37QXHgypebkJ3hS3N5wCt4q586zSVPu4S7UfSxG3rYpjBe8vPa9ziNn9DWiJU548AHRMxURkndYbWkBoRfPRJ

矿池：

·mssl1.se6.org:443

· 139.99.118.233:443

· xmr.f2pool.com:13531

· 47.101.30.124:13531

6、删除temp2.exe、temp3.exe。

7、hosts文件中追加域名(一些门罗币矿池)对应ip地址139.180.214.175，该地址实际上为此次的挖矿木马使用的矿池mssl1.se6.org指向的ip，挖矿木马试图通过将其他矿池映射到自己的矿池对应的ip地址，来劫持其他挖矿程序或木马的收益。

work.exe(temp1.exe)：

work.exe从样本自身资源释放库文件606641_res.tmp，文件尾追加用于创建互斥量的字符串” AAAAAABfIA+L0A9/748un2vQAAqaezs7Sf”，

把释放的库文件移动到C:\windows\system32\FastUserSwitchingCompatibilityex.dll；FastUserSwitchingCompatibility服务对应的注册表中添加Parameter子键，写入ServiceDll项值为

C:\windows\system32\

FastUserSwitchingCompatibilityex.dll，启动服务。

FastUserSwitchingCompatibilityex.dll为远程控制木马核心程序,

上线后连接到控制端地址fuck.chakuzi.cc:8447，等待服务器指令，可完成截屏、录音、遍历系统进程、线程注入、投递恶意程序等功能。

经分析控制指令由早年比较流行的木马Gh0st的思路修改而成。

录音，发送数据

获取窗口信息，发送数据

获取驱动器信息，发送数据

截屏，发送数据

录制屏幕，发送数据

投递恶意程序

读取保存的日志文件，发送

提权，遍历进系统程，获取获取文件名和模块名

安全建议

1、服务器暂时关闭不必要的端口（如135、139、445），方法可参考： https://guanjia.qq.com/web_clinic/s8/585.html ；

2、下载并更新Windows系统补丁，及时修复永恒之蓝系列漏洞；

3、使用安全管理系统拦截病毒攻击。

4、对于已中招用户，除了使用杀毒软件清理NSAMsdMiner病毒外，还可以手动做以下操作：

删除文件夹：

C:\Windows\Fonts\Mysql\

c:\windows\Fonts\Wbem\

删除文件：

c:\ProgramData\Microsoft\HelpLibrary\SecureAssessmentHandler.dll

c:\ProgramData\Microsoft\HelpLibrary\SecureAssessmentHandlerstor.dll

c:\ProgramData\Microsoft\cmd.exe

c:\ProgramData\Microsoft\Windows\GameExplorer\msdtc.exe

c:\Windows\system32\FastUserSwitchingCompatibilityex.dll(文件名后5位是ex.dll的都要删除)

C:\windows\system32\syslog.dat

IOCs

IP

45.35.4.107

139.99.118.233

47.101.30.124

3.0.144.122

C&C

fuck.chakuzi.cc:8447

MD5

709574b67f09ef0641c727bd058e1482

0a609787b1743d11b01bacd8a667b329

54c8b9fe2bbbb3ccfdbe51f396d1d482

52c89ea56e0e4e052e9f26bc0d0fad4b

76fa149ab20f5e05a6e9f042f74f43ac

d26b0efe521507241b92283ffa7c61ca

821ed5816944c5d62ede670d88d54229

fc5d56872988a769ac42a4f61be23355

ff30717952e1eb557b64608795e0a746

12db4dd31ea32a0ae7b2b87f5b0486d4

a9ee7a046a9943aa397094ec4b239515

632e548f860db1c3322101e5e4fb565d

URL

hxxp://qrpic.oss-cn-shenzhen.aliyuncs.com/setup/work.exe

hxxp://qrpic.oss-cn-shenzhen.aliyuncs.com/setup/mm.exe

hxxp://qrpic.oss-cn-shenzhen.aliyuncs.com/setup/XMR-NOSSL-x86.exe

hxxp://qrpic.oss-cn-shenzhen.aliyuncs.com/setup/Windowsd.exe

hxxp://45.35.4.107/ip.php

矿池：

mssl1.se6.org:443

139.99.118.233:443

xmr.f2pool.com:13531

47.101.30.124:13531