你还在关注勒索病毒？别人已经转行挖矿！

导语

近日，腾讯游戏安全中心捕获一款网吧内传播的恶意软件。原以为是常规的网吧盗号木马，但详细分析之后发现并非如此。经证实该恶意软件是目前发现的首款利用 Windows SMB 漏洞传播，释放虚拟货币矿机挖矿的肉鸡集群。

0x01 来源

2017 年 7 月 10 日左右，由腾讯网吧守护 TSPN 和顺网联合团队在某网吧内发现异常的 svchost.exe 进程，以及与之相关 spoolsv.exe 进程，遂提取样本到安全中心进行人工核实。

0x02 真身

拿到样本后从外观看与系统自带的进程无异，但查看属性发现 spoolsv.exe 是一个压缩文件，于是开始产生警觉。

尝试使用 7zip 解压此文件后，发现了惊天大秘密——NSA 攻击工具包。从字面上我们可以看到永恒之蓝、永恒冠军字样的攻击配置文件。同时我们在解压之后的文件中也找到了与样本同名的两个可执行体，以及同名的 xml 配置文件。

打开 svchost.xml 查看一下，发现正式永恒之蓝的攻击配置文件。

打开 spoolsv.xml 查看一下，发现了另一个 NSA 工具 DoublePulsar 的攻击配置文件。

于是猜测压缩包内的 svchost.exe 是 EternalBlue 攻击程序，压缩包内的 spoolsv.exe 则是 DoublePulsar 后门。

尝试手工运行这两个可执行文件，发现的确是命令行工具，只是配置文件不正确，无法完成攻击。

0x03 毒手

了解到样本的真身之后，我们开始认为这是一个和 WannaCry 一样的勒索病毒，但是仔细想一下发现样本并没有造成网吧电脑的大规模爆发，也没有业主有反馈，于是怀疑这并非是一起简单的勒索病毒事件。

深入分析后发现初始的 spoolsv.exe（我们称之为母体）并非简简单单的释放攻击包，其自身在释放攻击载荷之后，还会开启对局域网络 445 端口的疯狂扫描，一旦发现局域网内开放的 445 端口，就会将目标 IP 地址及端口写入 EternalBlue 的配置文件中，然后启动 svchost.exe 进行第 1 步溢出攻击。第 1 步攻击的结果会记录在 stage1.txt 中，攻击完成后，母体会检查攻击是否成功，若攻击成功，则继续修改 DoublePulsar 的配置文件，并启动 spoolsv.exe（压缩包内的 DoublePulsar，并非母体）在目标计算机安装后门，此称之为第 2 步攻击，结果会记录在 stage2.txt 中。

这就完了吗？仅此而已吗？那这玩意儿到底是为了啥？这不科学，没有病毒仅仅是为了传播儿传播，但是此时我们的样本在实验室内已经不再继续工作了。于是我们在网吧中继续抓取到这东西的精彩后续：被安装了 DoublePulsar 后门的计算机中 lsass.exe 进程被注入了一段 shellcode，这和外网公布的 DoublePulsar 的行为一模一样，但样本中的这段 shellcode 利用 lsass.exe 进程在局域网被感染的其他计算机上下载了另一个神秘的可执行文件，而这个文件正是我们样本中一直没有提到的 svchost.exe（与母体在同一目录下）。

而这个 svchost.exe 可不是 EternalBlue。那么它是啥？通过仔细的分析，我们发现它会做三件事情：

第一，先把自己添加到计划任务的一个不起眼的地方，让人感觉是一个合法的任务，从而达到自启动的目的。

第二，在局域网其他电脑上下载一个母体文件，以便于二次传播。

第三，释放一个 ServicesHost.exe 进程并以指定的参数执行这个进程。

继续跟踪这个 ServicesHost.exe 以及启动参数，发现了一个惊天大秘密，也就是整套传播机制的终极目的——挖矿。

从此程序的启动参数中我们看到了一个敏感的域名"xmr.pool.minergate.com",Google 一下发现这是一个国外各种数字货币的矿池，网站提供了各种数字货币的矿池地址，只要在网站注册账户，就可以利用矿机参与挖矿。而我们的样本中的矿机则是一款 GITHUB 上的开源矿机xmrig，挖矿的账户则是 **dashcoin@protonmail.com**这个账户，挖的正式一种不是很常见的数字货币——门罗币。