NRSMiner的一个新变种正在感染亚洲南部地区的用户,大多数受害者分别是越南(54%),伊朗(16%)和马来西亚(12%)。
新版本利用EternalBlue漏洞进行传播,专家观察到威胁还会更新现有的NRSMiner安装。
ETERNALBLUE 是一种NSA攻击,在WannaCry攻击中成为DOUBLEPULSAR的头条新闻 。
ETERNALBLUE 以SMBv1协议为目标,并且已经在恶意软件开发人员社区中得到广泛采用。
“从2018年11月中旬开始,我们的遥测报告显示,最新版本的 NRSMiner 密码系统使用Eternal Blue漏洞传播到本地网络中的易受攻击的系统,正在亚洲积极传播。看到的大多数感染系统都在越南。“阅读F-Secure发布的分析。
新版本的NRSMiner通过下载新模块并删除旧版本安装的文件和服务来更新现有感染。
感染了运行该版本的旧版NRSMiner的计算机 wmassrvservice将连接到tecate [。] traduires [。] com以下载更新程序模块。模型存储在%systemroot%\ temp文件夹为 tmp [xx]。可执行程序,其中[xx]是GetTickCount()API的返回值。
如果更新程序模块发现安装了新版本,则会删除自身,否则会从硬编码的URL中下载恶意软件。
“要删除自身的先前版本,最新版本是指服务,任务列表 和要删除的文件,可以在snmpstorsrv.dll文件中找到; 要删除所有旧版本,它指的是MarsTraceDiagnostics.xml文件中的列表。“继续分析。
此恶意代码首先安装名为的服务 snmpstorsrv,snmpstorsrv.dll注册为 servicedll。然后它会删除自己。
该服务创建多个线程来执行多个恶意活动,例如数据泄露和挖掘。
更新后的矿工将注入svchost.exe以启动 加密开采, 如果注入失败,服务会将矿工写入%systemroot%\ system32 \ TrustedHostex.exe并启动它。
最新的NRSMiner版本利用wininit.exe处理其利用和传播。Wininit.exe解压缩%systemroot%\ AppDiagnostics \ blue.xml中的压缩数据并将文件解压缩到AppDiagnostics文件夹。其中一个名为svchost.exe的解压缩文件 是Eternalblue - 2.2.0 exploit可执行文件。
Wininit.exe在TCP端口445上扫描本地网络的其他可访问设备,它在任何易受攻击的系统上执行EternalBlue漏洞。如果漏洞利用成功执行,则会安装DoublePulsar后门。
恶意代码使用XMRig Monero CPU挖掘器。
在F.Secure发布的分析中报告了包括IoC在内的更多信息。
閱讀更多 專注黑客事件直播報 的文章
