NSRminer加密泉币挖矿机详细剖析 | 申博官网
登录
  • 欢迎进入Sunbet!
  • 如果您觉得Sunbet对你有帮助,那么赶紧使用Ctrl+D 收藏Sunbet并分享出去吧
  • 您好,这里是Sunbet!

NSRminer加密泉币挖矿机详细剖析

Sunbet_行业观察 申博 333次浏览 已收录 0个评论

2017年WannaCry发作一年后,在亚洲依然有大批被歹意软件沾染未修复的机械。2018年11月中旬最先,研究人员发现了NSRminer加密泉币挖矿机的最新版本。NSRminer挖矿机运用Eternal Blue破绽在本地网络中有破绽的体系中流传,重要活泼地区在亚洲。大多数受沾染的体系位于越南。

 NSRminer加密泉币挖矿机详细剖析

2018年11-12月NRSMiner按国度的沾染数据

NRSMiner除下载加密泉币挖矿机到受沾染的机械外,还能够下载更新的模块,并删除之前版本装置的文件和效劳。

本文剖析最新NRSMiner版本怎样沾染体系、修复发起等。

NRSMiner流传体式格局

NRSMiner最新版本沾染体系的体式格局有两种:

· 下载updater模块到已沾染NRSMiner的体系上;

· 若是体系被修复,而且局域网内有机械沾染NRSMiner。

要领1:经由过程Updater模块沾染

若是体系沾染了NRSMiner之前的版本,就会衔接到tecate[.]traduires[.]com来下载updater模块到%systemroot%\temp文件夹中,下载后的文件名为tmp[xx].exe,个中[xx]是GetTickCount() API的返回值。

Updater模块实行后,就会从因编码的IP地点下载另一个文件到雷同的文件夹:

 NSRminer加密泉币挖矿机详细剖析

分歧updater模块文件中的IP地点列表

下载的文件/x86和/x64以WUDHostUpgrade[xx].exe文件的情势保存在%systemroot%\temp文件中,个中[xx]是GetTickCount() API的返回值。

WUDHostUpgrade[xx].exe

WUDHostUpgrade[xx].exe起首搜检mutex {502CBAF5-55E5-F190-16321A4}来肯定体系是不是沾染最新的NRSMiner。若是沾染,WUDHostUpgrade[xx].exe就会删除本身。不然,删除MarsTraceDiagnostics.xml、snmpstorsrv.dll和MgmtFilterShim.ini文件。

然后,该模块会从resource局部提取MarsTraceDiagnostics.xml和snmpstorsrv.dll文件到%systemroot%\system32或%systemroot%\sysWOW64文件夹。

然后复制svchost.exe的CreationTime、LastAccessTime和LastWritetime属性值,并用复制的值更新MarsTraceDiagnostics.xml和snmpstorsrv.dll的雷同属性。

末了,WUDHostUpgrade[xx].exe会装置名为snmpstorsrv的效劳,并用snmpstorsrv.dll注册为servicedll,然后删除本身。

 NSRminer加密泉币挖矿机详细剖析

WUDHostUpgradexx.exe行动的伪代码透露表现

Snmpstorsrv service

新建立的Snmpstorsrv效劳会从svchost.exe -k netsvcs最先,然后加载snmpstorsrv.dll文件,snmpstorsrv.dll文件会罕见多个线程来实行歹意运动。

 NSRminer加密泉币挖矿机详细剖析

Snmpstorsrv效劳实行的运动

Snmpstorsrv效劳起首会在%systemroot%\system32文件夹中建立名为MgmtFilterShim.ini的文件,写入+,修正建立时候、末了接见时候、末了写入时候为svchost.exe中的值。

然后,Snmpstorsrv效劳会从MarsTraceDiagnostics.xml中提掏出歹意URL和加密泉币挖矿机的设置装备摆设文件。

 NSRminer加密泉币挖矿机详细剖析

MarsTraceDiagnostics.xml文件中的歹意URL和挖矿机设置装备摆设信息

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

在沾染了老版本NRSMiner的体系中,歹意软件在更新NRSMiner前会删除老版本NRSMiner的一切组件。为了移除老版本的组件,新版本NRSMiner会援用一些能够在snmpstorsrv.dll文件中找到的字符串情势的效劳、义务和文件;为了移除一切的snmpstorsrv.dll老版本,歹意软件援用了MarsTraceDiagnostics.xml文件中的列表。

 NSRminer加密泉币挖矿机详细剖析

要被删除的效劳、义务、文件和文件夹列表

老版本的效劳、义务、文件和文件夹被删除后,Snmpstorsrv效劳会搜检衔接到下面的地点来更新挖矿机的组件:

· reader[.]pamphler[.]com/resource

· handle[.]pamphler[.]com/modules.dat

若是更新的挖矿机组件不可用,就下载和写入MarsTraceDiagnostics.xml文件。在下载了新的模块后,%systemroot%\system32\TrustedHostex.exe中的老版本挖矿机文件会被删除。新版本的挖矿时机在内存中解紧缩,并将新提掏出的挖矿机设置装备摆设数据写入。

最新更新的挖矿机文件会被注入到svchost.exe中来举行加密泉币挖矿。若是注入失利了,效劳就会将挖矿机写入%systemroot%\system32\TrustedHostex.exe,然后实行。

 NSRminer加密泉币挖矿机详细剖析

内存中解紧缩的挖矿机

然后,Snmpstorsrv效劳会解紧缩wininit.exe文件并将其注入到svchost.exe。若是注入失利,就将wininit.exe写入到%systemroot%\AppDiagnostics\wininit.exe中并实行。该效劳还会翻开端口60153并最先监听。

在其他2个线程中,效劳会发送受沾染的体系概况到地点:

· pluck[.]moisture[.]tk– MAC地点、IP地点、体系名、操作体系信息

· jump[.]taucepan[.]com– 处理器和内存特定信息

 NSRminer加密泉币挖矿机详细剖析

NSRminer加密泉币挖矿机详细剖析

转发到长途站点的体系信息

依据发送的信息,歹意软件会下载和实行一个新的updater文件,该文件会实行上面Updater Module形貌的运动。Updater模块会被用于用最新的NRSMiner沾染体系。

要领2:经由过程Wininit.exe和破绽应用沾染

在最新的NRSMiner版本中,wininit.exe负责处理破绽应用和流传运动。wininit.exe会解紧缩紧缩的数据到%systemroot%\AppDiagnostics\blue.xml,并解压文件到AppDiagnostics文件夹。这些解紧缩的文件中有一个是svchost.exe,这是Eternalblue – 2.2.0的破绽应用文件。然后删除blue.xml文件并将x86.dll和x64.dll文件写入AppDiagnostics文件夹。

Wininit.exe会在TCP 445端口扫描本地网络来寻觅其他可接见的体系。扫描后,会实行Eternalblue可实行文件来应用有破绽的体系。应用信息保存在process1.txt文件中。

若是有破绽的体系被胜利应用,Wininit.exe会实行spoolsv.exe。spoolsv.exe是DoublePulsar – 1.3.1可实行文件,该文件会在被破绽应用的体系中装置DoublePulsar后门。依据目的的操作体系范例,Wininit.exe会挪动x86.dll或x64.dll文件,然后用spoolsv.exe后门注入目的体系的lsass.exe。

 NSRminer加密泉币挖矿机详细剖析

沾染要领

x86.dll/x64.dll

x86.dll/x64.dll会建立socket衔接,并从受沾染体系中的%systemroot%\system32文件夹中猎取MarsTraceDiagnostics.xml文件。提取snmpstorsrv.dll,然后在新沾染的体系中建立并开启Snmpstorsrv效劳,然后反复全部沾染轮回,并找出其他有破绽的机械。

挖矿机模块

NRSMiner运用XMRig Monero CPU挖矿机来天生Monero门罗币。运用的参数有:

 NSRminer加密泉币挖矿机详细剖析

挖矿机参数

-o, –url=URL ,挖矿效劳的URL
-u, –user=USERNAME,挖矿效劳器的用户名
-p, –pass=PASSWORD,挖矿效劳器的暗码
-t, –threads=N,挖矿机线程数
–donate-level=N,默许5% (5 minutes in 100 minutes)
–nicehash,启用nicehash.com支撑

Sunbet|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明NSRminer加密泉币挖矿机详细剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址