Windows SMB漏洞利用与虚拟货币挖矿恶意软件分析报告

1. 样本概述

该恶意软件利用Windows SMB漏洞进行传播，主要功能包括：

• 释放虚拟货币矿机程序进行挖矿
• 伪装成系统进程spoolsv.exe
• 扫描局域网445端口并进行漏洞利用攻击
• 构建肉鸡集群为攻击者挖取门罗币(XMR)

2. 技术分析

2.1 文件组成

样本包含以下关键组件：

• 压缩的spoolsv.exe文件（包含NSA攻击工具包）
• EternalBlue漏洞利用工具
• DoublePulsar后门程序
• ServicesHost.exe（挖矿程序）

2.2 攻击流程

1. 初始感染阶段：

   • 释放攻击载荷后开始扫描局域网445端口
   • 将发现的开放端口写入EternalBlue配置文件

2. 漏洞利用阶段：

   • 使用svchost.exe执行EternalBlue进行第一阶段攻击（记录在stage1.txt）
   • 成功则修改DoublePulsar配置，执行第二阶段攻击（记录在stage2.txt）

3. 持久化与扩散：

   • 在目标计算机的lsass.exe进程中注入shellcode
   • 通过DoublePulsar后门从局域网下载母体文件进行二次传播

4. 挖矿操作：

   • 释放并执行ServicesHost.exe进程
   • 连接到国外数字货币矿池（特别是门罗币矿池）

2.3 技术特点

• 使用Windows SMB协议漏洞（如EternalBlue）进行传播
• 采用进程注入技术（lsass.exe）实现持久化
• 具备局域网扫描和自动传播能力
• 挖矿程序配置了特定的矿池地址和矿机账号

3. 防御建议

3.1 预防措施

1. 补丁管理：

   • 及时安装Windows操作系统最新安全补丁
   • 特别关注MS17-010等SMB相关漏洞补丁

2. 网络防护：

   • 加强对445、135、137、139等端口的访问控制
   • 实施内部网络区域隔离和访问审计
   • 监控异常的网络扫描行为

3. 系统加固：

   • 禁用不必要的SMB服务
   • 启用主机防火墙并配置严格规则
   • 定期检查系统进程和服务

3.2 检测与响应

1. 检测指标：

   • 异常的spoolsv.exe进程（非位于System32目录）
   • 存在stage1.txt和stage2.txt文件
   • 异常的lsass.exe内存注入
   • 对矿池地址的出站连接

2. 清除方法：

   • 使用专业杀毒工具进行全盘扫描
   • 检查并终止可疑进程
   • 删除相关恶意文件
   • 重置受影响系统的密码

3. 恢复措施：

   • 从备份恢复系统
   • 更新所有系统凭证
   • 全面检查网络内其他主机

4. 总结

该恶意软件结合了漏洞利用、横向移动和加密货币挖矿技术，形成了完整的攻击链。攻击者利用未修补的Windows系统漏洞建立僵尸网络，通过挖取门罗币获取经济利益。防御此类威胁需要采取多层次的安全措施，特别强调及时修补已知漏洞和加强网络监控。