背景介紹
近日，漁村安全團隊追蹤到一個利用永恒之藍漏洞傳播的挖礦程序，其具備高度的模塊化和較強的傳播能力，在短短數日就感染了數萬臺用戶電腦。針對該突發情況，漁村安全團隊迅速組織應急工作，最終使得目前的感染情況受到控制，下文為樣本分析。
感染量
從微軟發布ms17-010(永恒之藍漏洞) 的修復補丁到現在已經過去四個月了，相繼爆發的利用該漏洞傳播的WannaCry,Petya 勒索病毒更是給 我們 上了一課。但目前來看，還是有不少用戶沒有及時更新補丁或者做相應的緩解措施，同時 Shadow Brokers把從 Equation Group偷來的全套針對該漏洞的利用工具開源 ，這使得人人有了一套 核武器 ，導致發動攻擊的門檻極度降低。綜合上述原因，可以推測該漏洞在很長一段時間之內，還會有不同程度的活躍。目前，根據全網監控數據可知，各地區感染該例樣本量占比情況如下 :

樣本分析
1.感染癥狀
該樣本分為兩個模塊，分別為挖礦程序與永恒之藍攻擊程序，感染后的用戶機器，通常會有如下癥狀 :
1.  監聽26571端口

2.存在C:\Windows\IME\Crypt文件夾
 

3.訪問其他主機的445端口

2.傳播方式

如上圖所示，是整個樣本的攻擊流程圖，受害者之間的樣本投送分工為:
攻擊方，挖礦程序搭建web服務器(端口 26571)，等待特定的GET請求
被攻擊方，payload訪問攻擊方提供的web服務器，通過 GET請求得到樣本(含挖礦程序和永恒之藍 EXP 程序)
3.樣本特性
通過前文已知，該樣本是分為挖礦程序與永恒之藍攻擊程序，下面針對不同模塊進行分析。
3.1挖礦程序
挖礦程序的調用者是內核后門注入到lsass.exe中的 payload所生成并調起的。
3.1.1 創建計劃任務
程序在啟動時，創建計劃任務，達到開機自啟動的目的，命令如下:
schtasks.exe/create /TN "\Microsoft\Windows\UPnP\Services" /RU SYSTEM /TR"%WinDir%\IME\Microsoft\svchost.exe" /SC ONSTART
 

3.1.2 釋放挖礦程序
創建線程，完成從資源bin中釋放挖礦程序到系統根目錄下功能，文件名稱為 ServicesHost.exe

之后傳遞參數
-o stratum+tcp://xmr.pool.minergate.com:45560-u dashcoin@protonmail.com -t 1 --donate-level=1
執行，同時嘗試解析系統根目錄下的 settings7283.dat數據文件。
3.1.3 開啟WEB服務
創建線程，搭建一個WEB服務器，提供文件下載功能，方便被攻擊方快速下拉惡意代碼。

其中，回調函數Url_parser只處理兩種請求，分別為：
POST方式接收到的Hell World?
GET方式接收到的/dnsclientprovider_userdata.mof 
當POST方法得到的請求數據是Hell World? ，則當前挖礦進程會退出，邏輯如下：


其中dnsclientprovider_userdata.mof文件目前沒有捕獲到，但根據之后的payload 的請求數據來看，該文件是一個 ZIP包，里面包含了挖礦程序和攻擊程序，故達到了利用漏洞傳播的效果。
3.1.4 執行攻擊程序&攻擊信息上報
開啟新線程，執行C:\Windows\IME\Microsoft\spoolsv.exe，實為payload 從攻擊方下拉后解壓生成的攻擊程序。開啟新線程，每隔 900s向服務器上報信息。