ZombieBoy加密货币挖矿恶意软件分析报告<\/h1>

概述<\/h2>
ZombieBoy是一款通过漏洞利用传播的加密货币挖矿蠕虫，与MassMiner不同之处在于它使用WinEggDrop来搜索新的目标主机。该恶意软件持续更新，研究人员每天都能发现新的样本。<\/p>

技术细节<\/h2>

1. 基础设施<\/h3>

ZombieBoy使用多个运行HFS(HTTP文件服务器)的服务器来获取payload：<\/p>

ca[dot]posthash[dot]org:443\/<\/li>
sm[dot]posthash[dot]org:443\/<\/li>
sm[dot]hashnice[dot]org:443\/<\/li>

C2服务器：dns[dot]posthash[dot]org<\/li> <\/ul>

2. 漏洞利用<\/h3>

ZombieBoy利用以下漏洞进行传播：<\/p>

CVE-2017-9073：Windows XP和Windows Server 2003上的RDP漏洞<\/li>
CVE-2017-0143：SMB漏洞<\/li>

CVE-2017-0146：SMB漏洞<\/li> <\/ul>

3. 感染流程<\/h3>

3.1 初始感染<\/h4>

使用ZombieBoyTools（中文简体界面）通过EternalBlue\/DoublePulsar漏洞利用远程安装主dll。成功执行后：<\/p>

从ca[dot]posthash[dot]org:443下载123.exe<\/li>

保存为C:%WindowsDirectory%\sys.exe并执行<\/li> <\/ol>

3.2 123.exe执行流程<\/h4>

下载64.exe保存为boy.exe并执行<\/li>

释放并执行74.exe和84.exe两个模块

74.exe保存为C:\Program Files(x86)\svchost.exe（Gh0stRAT变种）<\/li>

84.exe保存为C:\Program Files(x86)\StormII\mssta.exe（RAT）<\/li> <\/ul> <\/li> <\/ol>

4. 模块分析<\/h3>

4.1 64.exe模块<\/h4>

使用Themida打包软件加密，增加逆向难度<\/li>
包含虚拟机检测功能<\/li>
在C:\Windows\IIS释放70多个文件（包括XMRIG挖矿机、漏洞利用等）<\/li>
连接ip[dot]3222[dot]net获取受害者IP<\/li>
使用WinEggDrop扫描网络寻找开放445端口的目标<\/li>
使用DoublePulsar安装SMB后门和RDP后门<\/li>

使用XMRIG进行门罗币挖矿（速度约43KH\/s，月收益约$1000）<\/li> <\/ul>

已知钱包地址：<\/p>

42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw
49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ
<\/code><\/pre>
4.2 74.exe模块<\/h4>

下载、解密和执行NetSyst96.dll（Gh0stRAT变种）<\/li>
解密参数包括：
Dns.posthash.org
127.0.0.1
5742944442
YP_70608
ANqiki cmsuucs
Aamqcygqqeqkia
Fngzxzygdgkywoyvkxlpv ldv
%ProgramFiles%\/
Svchost.exe
Add
Eeie saswuk wso
<\/code><\/pre>
<\/li>
<\/ul>
持久化技术：<\/p>

保存74.exe副本为C:\Program Files(x86)\svchost.exe<\/li>
注册服务ANqiki cmsuucs<\/li>
添加MARKTIME注册表项记录启动时间<\/li>
监控svchost.exe进程数量<\/li>
<\/ol>
4.3 NetSyst96.dll<\/h4>

包含字符串"Game Over Good Luck By Wind"和"jingtisanmenxiachuanxiao.vbs"<\/li>
功能：

屏幕捕获<\/li>
录音<\/li>
剪贴板操作<\/li>
键盘记录<\/li>
<\/ul>
<\/li>
包含31个switch选项（疑似命令控制）<\/li>
<\/ul>
4.4 84.exe模块<\/h4>

从内存解密和执行Loader.dll<\/li>
传递加密参数：
ChDz0PYP8\/oOBfMO0A\/0B6Y= (解密为dns[dot]posthash[dot]org)
6gkIBfkS+qY= (解密为Default)
EQr8\/KY= (解密为mdzz)
<\/code><\/pre>
<\/li>
<\/ul>
4.5 Loader.dll<\/h4>

创建服务Dazsks Fsdgsdf<\/li>
收集系统信息：

操作系统版本<\/li>
CPU信息<\/li>
内存状态<\/li>
磁盘信息<\/li>
反病毒软件检测<\/li>
<\/ul>
<\/li>
连接C2服务器dns[dot]posthash[dot]org:5200<\/li>
<\/ul>
5. 缓解措施<\/h3>
5.1 预防措施<\/h4>

及时安装MS17-010补丁<\/li>
保持系统更新<\/li>
<\/ul>
5.2 清除步骤<\/h4>


终止以下进程：<\/p>

123.exe<\/li>
64.exe<\/li>
74.exe<\/li>
84.exe<\/li>
CPUinfo.exe<\/li>
N.exe<\/li>
S.exe<\/li>
非System32目录的Svchost.exe<\/li>
<\/ul>
<\/li>

删除以下注册表项：<\/p>

SYSTEM\/CurrentControlSet\/Services\/Dazsks Fsdgsdf<\/li>
SYSTEM\/CURRENTCONTROLSET\/SERVICES\/ANqiki cmsuuc<\/li>
<\/ul>
<\/li>

删除以下文件：<\/p>

C:%WindowsDirectory%\sys.exe<\/li>
C:\windows%system%\boy.exe<\/li>
C:\windows\IIS\cpuinfo.exe<\/li>
C:\Program Files(x86)\svchost.exe<\/li>
C:\Program Files\AppPatch\mysqld.dll<\/li>
C:\Program Files(x86)\StormII\mssta.exe<\/li>
C:\Program Files(x86)\StormII*<\/li>
<\/ul>
<\/li>
<\/ol>

ZombieBoy加密货币挖矿恶意软件分析报告<\/h1>

概述<\/h2> ZombieBoy是一款通过漏洞利用传播的加密货币挖矿蠕虫，与MassMiner不同之处在于它使用WinEggDrop来搜索新的目标主机。该恶意软件持续更新，研究人员每天都能发现新的样本。<\/p>

技术细节<\/h2>

3. 感染流程<\/h3>

4. 模块分析<\/h3>

5. 缓解措施<\/h3>

概述<\/h2>
ZombieBoy是一款通过漏洞利用传播的加密货币挖矿蠕虫，与MassMiner不同之处在于它使用WinEggDrop来搜索新的目标主机。该恶意软件持续更新，研究人员每天都能发现新的样本。<\/p>