如何理解虛擬貨幣礦機利用Windows SMB漏洞惡意傳播的分析報告

這期內容當中小編將會給大家帶來有關如何理解虛擬貨幣礦機利用Windows SMB漏洞惡意傳播的分析報告，文章內容豐富且以專業的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

1.   樣本描述

該惡意軟件利用WindowsSMB漏洞傳播，釋放虛擬貨幣礦機挖礦的肉雞集群，并偽裝成系統進程spoolsv.exe，其自身在釋放攻擊載荷之后，還會開啟對局域網絡445端口的瘋狂掃描，一旦發現局域網內開放的445端口，就會將目標IP地址及端口寫入EternalBlue的配置文件中，然后進行溢出攻擊。感染者將根據礦池地址和礦機賬號為宿主進行淘金！

2.   樣本分析

1、通過對系統進程檢查發現spoolsv.exe是一個壓縮文件，使用zip解壓此文件后，發現了NSA攻擊工具包。同時在解壓之后的文件中也找到了與樣本同名的兩個可執行體，以及同名的xml配置文件。

spoolsv.exe并非簡簡單單的釋放攻擊包，其自身在釋放攻擊載荷之后，還會開啟對局域網絡445端口的瘋狂掃描，一旦發現局域網內開放的445端口，就會將目標IP地址及端口寫入EternalBlue的配置文件中，然后啟動svchost.exe進行第1步溢出攻擊。第1步攻擊的結果會記錄在stage1.txt中，攻擊完成后，母體會檢查攻擊是否成功，若攻擊成功，則繼續修改DoublePulsar的配置文件，并啟動spoolsv.exe（壓縮包內的DoublePulsar，并非母體）在目標計算機安裝后門，此稱之為第2步攻擊，結果會記錄在stage2.txt中。

被安裝了DoublePulsar后門的計算機中lsass.exe進程被注入了一段shellcode，這和外網公布的DoublePulsar的行為一模一樣，但樣本中的這段shellcode利用lsass.exe進程在局域網被感染的其他計算機上下載了另一個神秘的可執行文件：

在局域網其他電腦上下載一個母體文件，以便于二次傳播。第三，釋放一個ServicesHost.exe進程并以指定的參數執行這個進程。

繼續跟蹤這個ServicesHost.exe以及啟動參數，從此程序的啟動參數中看到了一個國外各種數字貨幣的礦池，網站提供了各種數字貨幣的礦池地址，只要在網站注冊賬戶，就可以利用礦機參與挖礦，挖的正式一種不是很常見的數字貨幣——門羅幣。

3.   分析結論

該作者利用較新的SMB漏洞使惡意軟件進行傳播、釋放和執行挖礦流程，賺取虛擬貨幣。

4.   防御建議

1.及時更新操作系統補??；

2.加強對445等端口（其他關聯端口如： 135、137、139）的內部網絡區域訪問審計，及時發現非授權行為或潛在的攻擊行為；

3.已中木馬的用戶，可使用殺毒工具進行全盤查殺并保持良好上網習慣，切勿運行陌生程序，安裝安全軟件等。

上述就是小編為大家分享的如何理解虛擬貨幣礦機利用Windows SMB漏洞惡意傳播的分析報告了，如果剛好有類似的疑惑，不妨參照上述分析進行理解。如果想知道更多相關知識，歡迎關注億速云行業資訊頻道。