欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

精通NSA十八般兵器的NSAFtpMiner矿工来了,已有3万台电脑中招

来源:本站整理 作者:佚名 时间:2018-09-10 TAG: 我要投稿
文件中包含NSA武器中的Eternalblue(永恒之蓝)、Doubleplsar(双脉冲星)、EternalChampion(永恒冠军)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻击)。

Fileftp.exe伪装成“Ftp系统核心服务”。

主进程Fileftp.exe负责扫内网机器,调用攻击模块进行攻击。开始攻击时先关闭防火墙。

创建线程扫描内网IP,检测445/139端口是否开启:

判断机器系统版本:

Fileftp.exe利用多个NSA武器工具针对内网机器445端口进行攻击,如果攻击成功,则在目标机器执行Payload(x86/x64.dll)。

Fileftp.exe利用多个NSA武器工具针对内网机器139端口进行攻击,如果攻击成功,则在目标机器执行Payload(x86/x64.dll)。

内置FTP服务供内网机器进行病毒文件更新。

使用kill.bat、Pkill.dll对攻击进程进行清除。

0×2.3 Payload
木马利用NSA武器进行内网攻击后植入的DllPayload(x86.dll/x64.dll)在受害机器上执行后,释放自身文件中的远程控制木马runsum.exe,并将其安装为服务“Server Remote”,等待远程C2指令从而下载挖矿和NSA武器模块。
x86/x64.dll创建文件C:\Windows\runsum.exe:

将自身文件中的PE数据写入runsum.exe:

启动runsum.exe:

runsum.exe与远程控制模块clem.exe相同,运行后拷贝自身到C:\Windows\svchost.exe并注册为服务“Server Remote”。


0×2.4 挖矿
远程控制木马clem.exe下载挖矿模块xxs.exe,xxs.exe运行后释放help.dll到C:\Windows\Fonts\sysIntl。

写注册表
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\WindowsIntl_Help\Parameters\ServiceDll
将C:\Windows\Fonts\sysIntl\help.dll安装为服务:

help.dll释放矿机程序win1ogins.exe到以下目录:
C:\Windows\Help\
C:\Windows\PLA\system\
C:\Windows\Fonts\system(x64)\
C:\Windows\Fonts\system(x86)\
C:\Windwos\dell\

win1ogins.exe采用开源挖矿程序xmrig编译:

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载