首现新型RDPMiner挖矿蠕虫 受害主机易被添加恶意账户
字数 2366 2025-08-10 08:28:55

RDPMiner挖矿蠕虫分析与防御指南

1. RDPMiner概述

RDPMiner是一种新型挖矿蠕虫,通过爆破Windows Server 3389端口RDP服务进行传播,具有以下特征:

  • 导致CPU占用率暴涨,机器卡顿
  • 创建名为DefaultAccount的恶意账号
  • 具有持久化机制和对抗分析能力
  • 最早出现于2017年11月,持续时间长
  • 攻击IP主要来自伊朗和美国,中国IP多为被入侵的肉鸡

2. 攻击流程分析

2.1 初始入侵

  1. 攻击者通过RDP暴力破解获得主机控制权
  2. c:\users\administrator\desktop目录下植入sector-v1.exe工具包
  3. 工具包使用SFXRAR自解压缩程序加密,需要密码运行

2.2 工具包执行

  1. 使用c-f 4 rezahttp://111.63.225.242:8082//c-f4r.exe下载并运行c-f4r.exe
  2. 释放多个恶意程序:
    • d-f.exe
    • m-r.exe
    • res.exe
    • A-C-M.exe

2.3 二级释放

A-C-M.exe运行后释放:

  • svchost.exe(位于C:/Windows/debug/svchost.exe
  • ds.exe
  • nl.exe(即NLBrute.exe,3389爆破工具)
  • user.txt
  • pass.txt
  • backdoor-reg-nl-restart.bat

3. 主要功能模块

3.1 入侵模块

  • 使用nl.exe(NLBrute)进行RDP爆破
  • 加载17个IP地址文件(Part1到Part17),共计427,975个IP(去重后427,934个)
  • 爆破持续30分钟到1小时后自动清理痕迹

3.2 挖矿模块

  • svchost.exe释放并启动挖矿程序ServerGUi.exe(基于xmrig修改)
  • 挖矿程序路径:C:/Users/Administrator/AppData/Local/Temp/2/ServerGUi.exe
  • 钱包地址:493NdGNLF2C5EgQ11rYUA5gWqCLKrjY8w6Wrfev2cCXzW7UwepJ4yUv16A2zQfyWsWRk4wnGwpsUd7hLGr5TQFxYDnYK6Ta
  • 连接矿池:
    • pool.supportxmr.com:3333
    • minexmr.com
    • xmr-asia1.nanopool.org:14444
    • 159.69.206.220:3333

3.3 持久化与对抗模块

  1. 账号操作:

    • 添加DefaultAccount账号
    • 禁用administrator账号(net user administrator /active:no

  2. 注册表操作:

    • 添加自启动项:REG add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v
    • 禁用UAC:设置"EnableLUA"注册表项
    • 关闭Windows防火墙

  3. 痕迹清理:

    • 执行backdoor-reg-nl-restart.bat脚本
    • 删除释放的所有文件
    • 结束相关进程

4. 技术特点

4.1 加密与隐藏

  • 所有二进制程序使用SFXRAR自解压缩加密
  • 执行后统一由脚本清理,不留痕迹
  • 爆破时间限制为30-60分钟,难以捕获

4.2 传播方式

  • 使用NLBrute工具进行RDP爆破传播
  • 从被入侵主机继续攻击其他主机

4.3 挖矿收益

  • 日平均Hash Rate约25KH/s
  • 每日收益约8.73美元(基于当时币价)

5. 防御建议

5.1 预防措施

  1. RDP安全加固:

    • 避免使用弱密码
    • 考虑修改默认3389端口
    • 限制RDP访问源IP

  2. 系统加固:

    • 启用复杂密码策略
    • 保持系统和软件更新
    • 启用Windows防火墙

  3. 监控措施:

    • 监控异常CPU使用率
    • 监控可疑账号创建
    • 监控异常网络连接(特别是矿池地址)

5.2 检测方法

  1. 检查以下路径是否存在可疑文件:

    • C:\Windows\debug\svchost.exe
    • C:\Users\Administrator\AppData\Local\Temp\2\ServerGUi.exe

  2. 检查是否存在DefaultAccount账号

  3. 监控以下注册表项是否被修改:

    • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    • EnableLUA设置

5.3 清除步骤

  1. 终止相关进程:

    • nl.exe
    • A-C-M.exe
    • ServerGUi.exe

  2. 删除恶意文件:

    • 上述路径中的可疑文件
    • 桌面上的爆破工具和IP列表

  3. 修复系统:

    • 删除DefaultAccount账号
    • 恢复administrator账号
    • 修复被修改的注册表项
    • 重新启用防火墙和UAC

6. IOCs(入侵指标)

钱包地址

493NdGNLF2C5EgQ11rYUA5gWqCLKrjY8w6Wrfev2cCXzW7UwepJ4yUv16A2zQfyWsWRk4wnGwpsUd7hLGr5TQFxYDnYK6Ta

矿池地址

  • pool.supportxmr.com:3333
  • minexmr.com
  • xmr-asia1.nanopool.org:14444
  • 159.69.206.220:3333

恶意DNS请求

min.microsoftupdcenter.info

相关IP

111.63.225.242(多次涉及攻击行为)

7. 总结

RDPMiner挖矿蠕虫展示了攻击者如何利用RDP弱密码漏洞进行传播,并通过多种技术手段实现持久化和对抗分析。虽然当前挖矿收益不高,但对用户系统的危害不容忽视。防御此类攻击需要多层次的防护措施,特别是加强RDP安全设置和系统监控。

RDPMiner挖矿蠕虫分析与防御指南 1. RDPMiner概述 RDPMiner是一种新型挖矿蠕虫,通过爆破Windows Server 3389端口RDP服务进行传播,具有以下特征: 导致CPU占用率暴涨,机器卡顿 创建名为DefaultAccount的恶意账号 具有持久化机制和对抗分析能力 最早出现于2017年11月,持续时间长 攻击IP主要来自伊朗和美国,中国IP多为被入侵的肉鸡 2. 攻击流程分析 2.1 初始入侵 攻击者通过RDP暴力破解获得主机控制权 在 c:\users\administrator\desktop 目录下植入 sector-v1.exe 工具包 工具包使用SFXRAR自解压缩程序加密,需要密码运行 2.2 工具包执行 使用 c-f 4 reza 从 http://111.63.225.242:8082//c-f4r.exe 下载并运行 c-f4r.exe 释放多个恶意程序: d-f.exe m-r.exe res.exe A-C-M.exe 2.3 二级释放 A-C-M.exe 运行后释放: svchost.exe (位于 C:/Windows/debug/svchost.exe ) ds.exe nl.exe (即NLBrute.exe,3389爆破工具) user.txt pass.txt backdoor-reg-nl-restart.bat 3. 主要功能模块 3.1 入侵模块 使用 nl.exe (NLBrute)进行RDP爆破 加载17个IP地址文件(Part1到Part17),共计427,975个IP(去重后427,934个) 爆破持续30分钟到1小时后自动清理痕迹 3.2 挖矿模块 svchost.exe 释放并启动挖矿程序 ServerGUi.exe (基于xmrig修改) 挖矿程序路径: C:/Users/Administrator/AppData/Local/Temp/2/ServerGUi.exe 钱包地址: 493NdGNLF2C5EgQ11rYUA5gWqCLKrjY8w6Wrfev2cCXzW7UwepJ4yUv16A2zQfyWsWRk4wnGwpsUd7hLGr5TQFxYDnYK6Ta 连接矿池: pool.supportxmr.com:3333 minexmr.com xmr-asia1.nanopool.org:14444 159.69.206.220:3333 3.3 持久化与对抗模块 账号操作: 添加DefaultAccount账号 禁用administrator账号( net user administrator /active:no ) 注册表操作: 添加自启动项: REG add HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v 禁用UAC:设置"EnableLUA"注册表项 关闭Windows防火墙 痕迹清理: 执行 backdoor-reg-nl-restart.bat 脚本 删除释放的所有文件 结束相关进程 4. 技术特点 4.1 加密与隐藏 所有二进制程序使用SFXRAR自解压缩加密 执行后统一由脚本清理,不留痕迹 爆破时间限制为30-60分钟,难以捕获 4.2 传播方式 使用NLBrute工具进行RDP爆破传播 从被入侵主机继续攻击其他主机 4.3 挖矿收益 日平均Hash Rate约25KH/s 每日收益约8.73美元(基于当时币价) 5. 防御建议 5.1 预防措施 RDP安全加固: 避免使用弱密码 考虑修改默认3389端口 限制RDP访问源IP 系统加固: 启用复杂密码策略 保持系统和软件更新 启用Windows防火墙 监控措施: 监控异常CPU使用率 监控可疑账号创建 监控异常网络连接(特别是矿池地址) 5.2 检测方法 检查以下路径是否存在可疑文件: C:\Windows\debug\svchost.exe C:\Users\Administrator\AppData\Local\Temp\2\ServerGUi.exe 检查是否存在DefaultAccount账号 监控以下注册表项是否被修改: HKLM\Software\Microsoft\Windows\CurrentVersion\Run EnableLUA 设置 5.3 清除步骤 终止相关进程: nl.exe A-C-M.exe ServerGUi.exe 删除恶意文件: 上述路径中的可疑文件 桌面上的爆破工具和IP列表 修复系统: 删除DefaultAccount账号 恢复administrator账号 修复被修改的注册表项 重新启用防火墙和UAC 6. IOCs(入侵指标) 钱包地址 493NdGNLF2C5EgQ11rYUA5gWqCLKrjY8w6Wrfev2cCXzW7UwepJ4yUv16A2zQfyWsWRk4wnGwpsUd7hLGr5TQFxYDnYK6Ta 矿池地址 pool.supportxmr.com:3333 minexmr.com xmr-asia1.nanopool.org:14444 159.69.206.220:3333 恶意DNS请求 min.microsoftupdcenter.info 相关IP 111.63.225.242 (多次涉及攻击行为) 7. 总结 RDPMiner挖矿蠕虫展示了攻击者如何利用RDP弱密码漏洞进行传播,并通过多种技术手段实现持久化和对抗分析。虽然当前挖矿收益不高,但对用户系统的危害不容忽视。防御此类攻击需要多层次的防护措施,特别是加强RDP安全设置和系统监控。