如何理解虛擬貨幣礦機利用Windows SMB漏洞惡意傳播的分析報告

這期內容當中小編將會給大家?guī)碛嘘P如何理解虛擬貨幣礦機利用Windows SMB漏洞惡意傳播的分析報告，文章內容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

1.   樣本描述

該惡意軟件利用WindowsSMB漏洞傳播，釋放虛擬貨幣礦機挖礦的肉雞集群，并偽裝成系統(tǒng)進程spoolsv.exe，其自身在釋放攻擊載荷之后，還會開啟對局域網(wǎng)絡445端口的瘋狂掃描，一旦發(fā)現(xiàn)局域網(wǎng)內開放的445端口，就會將目標IP地址及端口寫入EternalBlue的配置文件中，然后進行溢出攻擊。感染者將根據(jù)礦池地址和礦機賬號為宿主進行淘金！

2.   樣本分析

1、通過對系統(tǒng)進程檢查發(fā)現(xiàn)spoolsv.exe是一個壓縮文件，使用zip解壓此文件后，發(fā)現(xiàn)了NSA攻擊工具包。同時在解壓之后的文件中也找到了與樣本同名的兩個可執(zhí)行體，以及同名的xml配置文件。

spoolsv.exe并非簡簡單單的釋放攻擊包，其自身在釋放攻擊載荷之后，還會開啟對局域網(wǎng)絡445端口的瘋狂掃描，一旦發(fā)現(xiàn)局域網(wǎng)內開放的445端口，就會將目標IP地址及端口寫入EternalBlue的配置文件中，然后啟動svchost.exe進行第1步溢出攻擊。第1步攻擊的結果會記錄在stage1.txt中，攻擊完成后，母體會檢查攻擊是否成功，若攻擊成功，則繼續(xù)修改DoublePulsar的配置文件，并啟動spoolsv.exe（壓縮包內的DoublePulsar，并非母體）在目標計算機安裝后門，此稱之為第2步攻擊，結果會記錄在stage2.txt中。

被安裝了DoublePulsar后門的計算機中l(wèi)sass.exe進程被注入了一段shellcode，這和外網(wǎng)公布的DoublePulsar的行為一模一樣，但樣本中的這段shellcode利用lsass.exe進程在局域網(wǎng)被感染的其他計算機上下載了另一個神秘的可執(zhí)行文件：

在局域網(wǎng)其他電腦上下載一個母體文件，以便于二次傳播。第三，釋放一個ServicesHost.exe進程并以指定的參數(shù)執(zhí)行這個進程。

繼續(xù)跟蹤這個ServicesHost.exe以及啟動參數(shù)，從此程序的啟動參數(shù)中看到了一個國外各種數(shù)字貨幣的礦池，網(wǎng)站提供了各種數(shù)字貨幣的礦池地址，只要在網(wǎng)站注冊賬戶，就可以利用礦機參與挖礦，挖的正式一種不是很常見的數(shù)字貨幣——門羅幣。

3.   分析結論

該作者利用較新的SMB漏洞使惡意軟件進行傳播、釋放和執(zhí)行挖礦流程，賺取虛擬貨幣。

4.   防御建議

1.及時更新操作系統(tǒng)補??；

2.加強對445等端口（其他關聯(lián)端口如： 135、137、139）的內部網(wǎng)絡區(qū)域訪問審計，及時發(fā)現(xiàn)非授權行為或潛在的攻擊行為；

3.已中木馬的用戶，可使用殺毒工具進行全盤查殺并保持良好上網(wǎng)習慣，切勿運行陌生程序，安裝安全軟件等。

上述就是小編為大家分享的如何理解虛擬貨幣礦機利用Windows SMB漏洞惡意傳播的分析報告了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業(yè)資訊頻道。