ZombieBoy加密货币挖矿恶意软件分析
字数 1917 2025-08-20 18:17:42

ZombieBoy加密货币挖矿恶意软件分析报告

概述

ZombieBoy是一款通过漏洞利用传播的加密货币挖矿蠕虫,与MassMiner不同之处在于它使用WinEggDrop来搜索新的目标主机。该恶意软件持续更新,研究人员每天都能发现新的样本。

技术细节

1. 基础设施

ZombieBoy使用多个运行HFS(HTTP文件服务器)的服务器来获取payload:

  • ca[dot]posthash[dot]org:443/
  • sm[dot]posthash[dot]org:443/
  • sm[dot]hashnice[dot]org:443/
  • C2服务器:dns[dot]posthash[dot]org

2. 漏洞利用

ZombieBoy利用以下漏洞进行传播:

  • CVE-2017-9073:Windows XP和Windows Server 2003上的RDP漏洞
  • CVE-2017-0143:SMB漏洞
  • CVE-2017-0146:SMB漏洞

3. 感染流程

3.1 初始感染

使用ZombieBoyTools(中文简体界面)通过EternalBlue/DoublePulsar漏洞利用远程安装主dll。成功执行后:

  1. 从ca[dot]posthash[dot]org:443下载123.exe
  2. 保存为C:%WindowsDirectory%\sys.exe并执行

3.2 123.exe执行流程

  1. 下载64.exe保存为boy.exe并执行
  2. 释放并执行74.exe和84.exe两个模块
    • 74.exe保存为C:\Program Files(x86)\svchost.exe(Gh0stRAT变种)
    • 84.exe保存为C:\Program Files(x86)\StormII\mssta.exe(RAT)

4. 模块分析

4.1 64.exe模块

  • 使用Themida打包软件加密,增加逆向难度
  • 包含虚拟机检测功能
  • 在C:\Windows\IIS释放70多个文件(包括XMRIG挖矿机、漏洞利用等)
  • 连接ip[dot]3222[dot]net获取受害者IP
  • 使用WinEggDrop扫描网络寻找开放445端口的目标
  • 使用DoublePulsar安装SMB后门和RDP后门
  • 使用XMRIG进行门罗币挖矿(速度约43KH/s,月收益约$1000)

已知钱包地址:

42MiUXx8i49AskDATdAfkUGuBqjCL7oU1g7TsU3XCJg9Maac1mEEdQ2X9vAKqu1pvkFQUuZn2HEzaa5UaUkMMfJHU5N8UCw
49vZGV8x3bed3TiAZmNG9zHFXytGz45tJZ3g84rpYtw78J2UQQaCiH6SkozGKHyTV2Lkd7GtsMjurZkk8B9wKJ2uCAKdMLQ

4.2 74.exe模块

  • 下载、解密和执行NetSyst96.dll(Gh0stRAT变种)
  • 解密参数包括: 
    Dns.posthash.org
127.0.0.1
5742944442
YP_70608
ANqiki cmsuucs
Aamqcygqqeqkia
Fngzxzygdgkywoyvkxlpv ldv
%ProgramFiles%/
Svchost.exe
Add
Eeie saswuk wso

持久化技术:

  1. 保存74.exe副本为C:\Program Files(x86)\svchost.exe
  2. 注册服务ANqiki cmsuucs
  3. 添加MARKTIME注册表项记录启动时间
  4. 监控svchost.exe进程数量

4.3 NetSyst96.dll

  • 包含字符串"Game Over Good Luck By Wind"和"jingtisanmenxiachuanxiao.vbs"
  • 功能:
    • 屏幕捕获
    • 录音
    • 剪贴板操作
    • 键盘记录
  • 包含31个switch选项(疑似命令控制)

4.4 84.exe模块

  • 从内存解密和执行Loader.dll
  • 传递加密参数: 
    ChDz0PYP8/oOBfMO0A/0B6Y= (解密为dns[dot]posthash[dot]org)
6gkIBfkS+qY= (解密为Default)
EQr8/KY= (解密为mdzz)

4.5 Loader.dll

  • 创建服务Dazsks Fsdgsdf
  • 收集系统信息:
    • 操作系统版本
    • CPU信息
    • 内存状态
    • 磁盘信息
    • 反病毒软件检测
  • 连接C2服务器dns[dot]posthash[dot]org:5200

5. 缓解措施

5.1 预防措施

  • 及时安装MS17-010补丁
  • 保持系统更新

5.2 清除步骤

  1. 终止以下进程:

    • 123.exe
    • 64.exe
    • 74.exe
    • 84.exe
    • CPUinfo.exe
    • N.exe
    • S.exe
    • 非System32目录的Svchost.exe

  2. 删除以下注册表项:

    • SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf
    • SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc

  3. 删除以下文件:

    • C:%WindowsDirectory%\sys.exe
    • C:\windows%system%\boy.exe
    • C:\windows\IIS\cpuinfo.exe
    • C:\Program Files(x86)\svchost.exe
    • C:\Program Files\AppPatch\mysqld.dll
    • C:\Program Files(x86)\StormII\mssta.exe
    • C:\Program Files(x86)\StormII*
ZombieBoy加密货币挖矿恶意软件分析报告 概述 ZombieBoy是一款通过漏洞利用传播的加密货币挖矿蠕虫,与MassMiner不同之处在于它使用WinEggDrop来搜索新的目标主机。该恶意软件持续更新,研究人员每天都能发现新的样本。 技术细节 1. 基础设施 ZombieBoy使用多个运行HFS(HTTP文件服务器)的服务器来获取payload: ca[ dot]posthash[ dot ]org:443/ sm[ dot]posthash[ dot ]org:443/ sm[ dot]hashnice[ dot ]org:443/ C2服务器:dns[ dot]posthash[ dot ]org 2. 漏洞利用 ZombieBoy利用以下漏洞进行传播: CVE-2017-9073:Windows XP和Windows Server 2003上的RDP漏洞 CVE-2017-0143:SMB漏洞 CVE-2017-0146:SMB漏洞 3. 感染流程 3.1 初始感染 使用ZombieBoyTools(中文简体界面)通过EternalBlue/DoublePulsar漏洞利用远程安装主dll。成功执行后: 从ca[ dot]posthash[ dot ]org:443下载123.exe 保存为C:\%WindowsDirectory%\sys.exe并执行 3.2 123.exe执行流程 下载64.exe保存为boy.exe并执行 释放并执行74.exe和84.exe两个模块 74.exe保存为C:\Program Files(x86)\svchost.exe(Gh0stRAT变种) 84.exe保存为C:\Program Files(x86)\StormII\mssta.exe(RAT) 4. 模块分析 4.1 64.exe模块 使用Themida打包软件加密,增加逆向难度 包含虚拟机检测功能 在C:\Windows\IIS释放70多个文件(包括XMRIG挖矿机、漏洞利用等) 连接ip[ dot]3222[ dot ]net获取受害者IP 使用WinEggDrop扫描网络寻找开放445端口的目标 使用DoublePulsar安装SMB后门和RDP后门 使用XMRIG进行门罗币挖矿(速度约43KH/s,月收益约$1000) 已知钱包地址: 4.2 74.exe模块 下载、解密和执行NetSyst96.dll(Gh0stRAT变种) 解密参数包括: 持久化技术: 保存74.exe副本为C:\Program Files(x86)\svchost.exe 注册服务ANqiki cmsuucs 添加MARKTIME注册表项记录启动时间 监控svchost.exe进程数量 4.3 NetSyst96.dll 包含字符串"Game Over Good Luck By Wind"和"jingtisanmenxiachuanxiao.vbs" 功能: 屏幕捕获 录音 剪贴板操作 键盘记录 包含31个switch选项(疑似命令控制) 4.4 84.exe模块 从内存解密和执行Loader.dll 传递加密参数: 4.5 Loader.dll 创建服务Dazsks Fsdgsdf 收集系统信息: 操作系统版本 CPU信息 内存状态 磁盘信息 反病毒软件检测 连接C2服务器dns[ dot]posthash[ dot ]org:5200 5. 缓解措施 5.1 预防措施 及时安装MS17-010补丁 保持系统更新 5.2 清除步骤 终止以下进程: 123.exe 64.exe 74.exe 84.exe CPUinfo.exe N.exe S.exe 非System32目录的Svchost.exe 删除以下注册表项: SYSTEM/CurrentControlSet/Services/Dazsks Fsdgsdf SYSTEM/CURRENTCONTROLSET/SERVICES/ANqiki cmsuuc 删除以下文件: C:\%WindowsDirectory%\sys.exe C:\windows\%system%\boy.exe C:\windows\IIS\cpuinfo.exe C:\Program Files(x86)\svchost.exe C:\Program Files\AppPatch\mysqld.dll C:\Program Files(x86)\StormII\mssta.exe C:\Program Files(x86)\StormII\*