欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

NSRminer加密货币挖矿机分析

来源:本站整理 作者:佚名 时间:2019-01-09 TAG: 我要投稿
 


转发到远程站点的系统信息
根据发送的信息,恶意软件会下载和执行一个新的updater文件,该文件会执行上面Updater Module描述的活动。Updater模块会被用于用最新的NRSMiner感染系统。
方法2:通过Wininit.exe和漏洞利用感染
在最新的NRSMiner版本中,wininit.exe负责处理漏洞利用和传播活动。wininit.exe会解压缩压缩的数据到%systemroot%\AppDiagnostics\blue.xml,并解压文件到AppDiagnostics文件夹。这些解压缩的文件中有一个是svchost.exe,这是Eternalblue – 2.2.0的漏洞利用文件。然后删除blue.xml文件并将x86.dll和x64.dll文件写入AppDiagnostics文件夹。
Wininit.exe会在TCP 445端口扫描本地网络来寻找其他可访问的系统。扫描后,会执行Eternalblue可执行文件来利用有漏洞的系统。利用信息保存在process1.txt文件中。
如果有漏洞的系统被成功利用,Wininit.exe会执行spoolsv.exe。spoolsv.exe是DoublePulsar – 1.3.1可执行文件,该文件会在被漏洞利用的系统中安装DoublePulsar后门。根据目标的操作系统类型,Wininit.exe会移动x86.dll或x64.dll文件,然后用spoolsv.exe后门注入目标系统的lsass.exe。
 

感染方法
x86.dll/x64.dll
x86.dll/x64.dll会创建socket连接,并从受感染系统中的%systemroot%\system32文件夹中获取MarsTraceDiagnostics.xml文件。提取snmpstorsrv.dll,然后在新感染的系统中创建并开启Snmpstorsrv服务,然后重复整个感染循环,并找出其他有漏洞的机器。
挖矿机模块
NRSMiner使用XMRig Monero CPU挖矿机来生成Monero门罗币。使用的参数有:
 

挖矿机参数
-o, –url=URL ,挖矿服务的URL
-u, –user=USERNAME,挖矿服务器的用户名
-p, –pass=PASSWORD,挖矿服务器的密码
-t, –threads=N,挖矿机线程数
–donate-level=N,默认5% (5 minutes in 100 minutes)
–nicehash,启用nicehash.com支持
 

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载