更新版NSRminer加密货币挖矿机分析
字数 2373 2025-08-18 11:36:57

NSRminer加密货币挖矿机深入分析与防御指南

一、NSRminer概述

NSRminer是一种利用EternalBlue漏洞传播的加密货币挖矿恶意软件,主要活跃于亚洲地区(特别是越南)。该恶意软件自2017年WannaCry爆发后持续存在,2018年11月出现重大更新版本。

二、感染机制分析

1. 通过Updater模块感染

感染流程

  1. 已感染旧版本的系统连接至tecate[.]traduires[.]com下载updater模块
  2. Updater模块保存为%systemroot%\temp\tmp[xx].exe([xx]为GetTickCount()返回值)
  3. 从编码IP地址下载WUDHostUpgrade[xx].exe到相同目录

WUDHostUpgrade[xx].exe执行流程

  • 检查mutex确认是否已感染最新版本
  • 删除旧版本文件:MarsTraceDiagnostics.xmlsnmpstorsrv.dllMgmtFilterShim.ini
  • 从资源段提取新版本文件到系统目录
  • 复制svchost.exe的时间戳属性到新文件
  • 创建snmpstorsrv服务并注册snmpstorsrv.dll为servicedll

2. 通过Wininit.exe和漏洞利用感染

传播流程

  1. wininit.exe解压数据到%systemroot%\AppDiagnostics\blue.xml
  2. 解压包含Eternalblue 2.2.0漏洞利用的svchost.exe
  3. 写入x86.dllx64.dll到AppDiagnostics目录
  4. 扫描本地网络TCP 445端口寻找易受攻击系统
  5. 利用成功后执行spoolsv.exe(DoublePulsar 1.3.1后门)
  6. 根据目标系统注入x86.dllx64.dlllsass.exe

三、恶意组件功能分析

1. Snmpstorsrv服务

主要活动

  • 创建MgmtFilterShim.ini文件(内容为"+")
  • MarsTraceDiagnostics.xml提取恶意URL和挖矿配置
  • 删除旧版本组件(服务、任务、文件和文件夹)
  • 连接reader[.]pamphler[.]com更新挖矿组件
  • 将挖矿机注入svchost.exe或写入TrustedHostex.exe
  • 解压wininit.exe并注入svchost.exe或写入%systemroot%\AppDiagnostics\wininit.exe
  • 监听端口60153
  • 发送系统信息到远程服务器:
    • pluck[.]moisture[.]tk:MAC地址、IP、系统名、OS信息
    • jump[.]taucepan[.]com:处理器和内存信息

2. 挖矿模块

技术细节

  • 使用XMRig Monero CPU挖矿机
  • 主要参数: 
    -o, --url=URL         挖矿服务URL
-u, --user=USERNAME   挖矿服务器用户名
-p, --pass=PASSWORD   挖矿服务器密码
-t, --threads=N      挖矿线程数
--donate-level=N     默认5% (每100分钟挖矿5分钟)
--nicehash           启用nicehash.com支持
  • 挖矿机在内存中解压缩后注入进程

四、关键文件与注册项

恶意文件列表:

  • %systemroot%\temp\tmp[xx].exe - Updater模块
  • %systemroot%\temp\WUDHostUpgrade[xx].exe - 升级模块
  • %systemroot%\system32\MarsTraceDiagnostics.xml - 配置数据
  • %systemroot%\system32\snmpstorsrv.dll - 服务DLL
  • %systemroot%\system32\MgmtFilterShim.ini - 标记文件
  • %systemroot%\system32\TrustedHostex.exe - 挖矿机
  • %systemroot%\AppDiagnostics\wininit.exe - 漏洞利用组件
  • %systemroot%\AppDiagnostics\blue.xml - 压缩的漏洞利用
  • %systemroot%\AppDiagnostics\x86.dll/x64.dll - 注入模块

服务与注册项:

  • snmpstorsrv服务(通过svchost.exe -k netsvcs启动)
  • 相关mutex用于检测感染状态

五、防御与清除方案

预防措施:

  1. 及时安装MS17-010补丁修复EternalBlue漏洞
  2. 关闭不必要的SMBv1协议和445端口
  3. 部署网络入侵检测系统监控异常流量
  4. 限制出站连接到已知挖矿池域名

检测指标:

  • 异常进程:TrustedHostex.exe、异常的svchost.exe实例
  • 网络连接:到已知恶意域名的连接(.traduires.com, .pamphler.com等)
  • 端口活动:60153端口监听
  • 文件特征:MgmtFilterShim.ini(内容为"+")

清除步骤:

  1. 终止相关进程:

    • TrustedHostex.exe
    • 异常的svchost.exe实例
    • wininit.exe(在AppDiagnostics目录下)

  2. 删除恶意文件:

    del /f /q %systemroot%\temp\tmp*.exe
del /f /q %systemroot%\temp\WUDHostUpgrade*.exe
del /f /q %systemroot%\system32\MarsTraceDiagnostics.xml
del /f /q %systemroot%\system32\snmpstorsrv.dll
del /f /q %systemroot%\system32\MgmtFilterShim.ini
del /f /q %systemroot%\system32\TrustedHostex.exe
rd /s /q %systemroot%\AppDiagnostics

  3. 移除恶意服务:

    sc stop snmpstorsrv
sc delete snmpstorsrv

  4. 检查并清理计划任务

  5. 重置受影响系统的时间戳属性

六、技术总结

NSRminer展示了高级挖矿恶意软件的典型特征:

  1. 利用已知漏洞(EternalBlue)进行横向移动
  2. 模块化设计,支持远程更新
  3. 使用合法进程注入技术(svchost.exe)隐藏恶意活动
  4. 多阶段部署机制,包含漏洞利用、后门安装和挖矿组件
  5. 完善的旧版本清理机制,确保单一感染版本

该恶意软件特别针对未修复的Windows系统,强调了对关键安全补丁及时安装的重要性。组织应特别关注SMB协议的防护和挖矿活动的网络流量监控。

NSRminer加密货币挖矿机深入分析与防御指南 一、NSRminer概述 NSRminer是一种利用EternalBlue漏洞传播的加密货币挖矿恶意软件,主要活跃于亚洲地区(特别是越南)。该恶意软件自2017年WannaCry爆发后持续存在,2018年11月出现重大更新版本。 二、感染机制分析 1. 通过Updater模块感染 感染流程 : 已感染旧版本的系统连接至tecate[ .]traduires[ . ]com下载updater模块 Updater模块保存为 %systemroot%\temp\tmp[xx].exe ([ xx ]为GetTickCount()返回值) 从编码IP地址下载 WUDHostUpgrade[xx].exe 到相同目录 WUDHostUpgrade[ xx].exe执行流程 : 检查mutex确认是否已感染最新版本 删除旧版本文件: MarsTraceDiagnostics.xml 、 snmpstorsrv.dll 和 MgmtFilterShim.ini 从资源段提取新版本文件到系统目录 复制 svchost.exe 的时间戳属性到新文件 创建 snmpstorsrv 服务并注册 snmpstorsrv.dll 为servicedll 2. 通过Wininit.exe和漏洞利用感染 传播流程 : wininit.exe 解压数据到 %systemroot%\AppDiagnostics\blue.xml 解压包含Eternalblue 2.2.0漏洞利用的 svchost.exe 写入 x86.dll 和 x64.dll 到AppDiagnostics目录 扫描本地网络TCP 445端口寻找易受攻击系统 利用成功后执行 spoolsv.exe (DoublePulsar 1.3.1后门) 根据目标系统注入 x86.dll 或 x64.dll 到 lsass.exe 三、恶意组件功能分析 1. Snmpstorsrv服务 主要活动 : 创建 MgmtFilterShim.ini 文件(内容为"+") 从 MarsTraceDiagnostics.xml 提取恶意URL和挖矿配置 删除旧版本组件(服务、任务、文件和文件夹) 连接reader[ .]pamphler[ . ]com更新挖矿组件 将挖矿机注入 svchost.exe 或写入 TrustedHostex.exe 解压 wininit.exe 并注入 svchost.exe 或写入 %systemroot%\AppDiagnostics\wininit.exe 监听端口60153 发送系统信息到远程服务器: pluck[ .]moisture[ . ]tk:MAC地址、IP、系统名、OS信息 jump[ .]taucepan[ . ]com:处理器和内存信息 2. 挖矿模块 技术细节 : 使用XMRig Monero CPU挖矿机 主要参数: 挖矿机在内存中解压缩后注入进程 四、关键文件与注册项 恶意文件列表: %systemroot%\temp\tmp[xx].exe - Updater模块 %systemroot%\temp\WUDHostUpgrade[xx].exe - 升级模块 %systemroot%\system32\MarsTraceDiagnostics.xml - 配置数据 %systemroot%\system32\snmpstorsrv.dll - 服务DLL %systemroot%\system32\MgmtFilterShim.ini - 标记文件 %systemroot%\system32\TrustedHostex.exe - 挖矿机 %systemroot%\AppDiagnostics\wininit.exe - 漏洞利用组件 %systemroot%\AppDiagnostics\blue.xml - 压缩的漏洞利用 %systemroot%\AppDiagnostics\x86.dll/x64.dll - 注入模块 服务与注册项: snmpstorsrv 服务(通过svchost.exe -k netsvcs启动) 相关mutex用于检测感染状态 五、防御与清除方案 预防措施: 及时安装MS17-010补丁修复EternalBlue漏洞 关闭不必要的SMBv1协议和445端口 部署网络入侵检测系统监控异常流量 限制出站连接到已知挖矿池域名 检测指标: 异常进程: TrustedHostex.exe 、异常的 svchost.exe 实例 网络连接:到已知恶意域名的连接( .traduires.com, .pamphler.com等) 端口活动:60153端口监听 文件特征: MgmtFilterShim.ini (内容为"+") 清除步骤: 终止相关进程: TrustedHostex.exe 异常的 svchost.exe 实例 wininit.exe (在AppDiagnostics目录下) 删除恶意文件: 移除恶意服务: 检查并清理计划任务 重置受影响系统的时间戳属性 六、技术总结 NSRminer展示了高级挖矿恶意软件的典型特征: 利用已知漏洞(EternalBlue)进行横向移动 模块化设计,支持远程更新 使用合法进程注入技术(svchost.exe)隐藏恶意活动 多阶段部署机制,包含漏洞利用、后门安装和挖矿组件 完善的旧版本清理机制,确保单一感染版本 该恶意软件特别针对未修复的Windows系统,强调了对关键安全补丁及时安装的重要性。组织应特别关注SMB协议的防护和挖矿活动的网络流量监控。