背景介紹
近日，漁村安全團(tuán)隊追蹤到一個利用永恒之藍(lán)漏洞傳播的挖礦程序，其具備高度的模塊化和較強(qiáng)的傳播能力，在短短數(shù)日就感染了數(shù)萬臺用戶電腦。針對該突發(fā)情況，漁村安全團(tuán)隊迅速組織應(yīng)急工作，最終使得目前的感染情況受到控制，下文為樣本分析。
感染量
從微軟發(fā)布ms17-010(永恒之藍(lán)漏洞) 的修復(fù)補(bǔ)丁到現(xiàn)在已經(jīng)過去四個月了，相繼爆發(fā)的利用該漏洞傳播的WannaCry,Petya 勒索病毒更是給 我們 上了一課。但目前來看，還是有不少用戶沒有及時更新補(bǔ)丁或者做相應(yīng)的緩解措施，同時 Shadow Brokers把從 Equation Group偷來的全套針對該漏洞的利用工具開源 ，這使得人人有了一套 核武器 ，導(dǎo)致發(fā)動攻擊的門檻極度降低。綜合上述原因，可以推測該漏洞在很長一段時間之內(nèi)，還會有不同程度的活躍。目前，根據(jù)全網(wǎng)監(jiān)控數(shù)據(jù)可知，各地區(qū)感染該例樣本量占比情況如下 :

樣本分析
1.感染癥狀
該樣本分為兩個模塊，分別為挖礦程序與永恒之藍(lán)攻擊程序，感染后的用戶機(jī)器，通常會有如下癥狀 :
1.  監(jiān)聽26571端口

2.存在C:\Windows\IME\Crypt文件夾
 

3.訪問其他主機(jī)的445端口

2.傳播方式

如上圖所示，是整個樣本的攻擊流程圖，受害者之間的樣本投送分工為:
攻擊方，挖礦程序搭建web服務(wù)器(端口 26571)，等待特定的GET請求
被攻擊方，payload訪問攻擊方提供的web服務(wù)器，通過 GET請求得到樣本(含挖礦程序和永恒之藍(lán) EXP 程序)
3.樣本特性
通過前文已知，該樣本是分為挖礦程序與永恒之藍(lán)攻擊程序，下面針對不同模塊進(jìn)行分析。
3.1挖礦程序
挖礦程序的調(diào)用者是內(nèi)核后門注入到lsass.exe中的 payload所生成并調(diào)起的。
3.1.1 創(chuàng)建計劃任務(wù)
程序在啟動時，創(chuàng)建計劃任務(wù)，達(dá)到開機(jī)自啟動的目的，命令如下:
schtasks.exe/create /TN "\Microsoft\Windows\UPnP\Services" /RU SYSTEM /TR"%WinDir%\IME\Microsoft\svchost.exe" /SC ONSTART
 

3.1.2 釋放挖礦程序
創(chuàng)建線程，完成從資源bin中釋放挖礦程序到系統(tǒng)根目錄下功能，文件名稱為 ServicesHost.exe

之后傳遞參數(shù)
-o stratum+tcp://xmr.pool.minergate.com:45560-u dashcoin@protonmail.com -t 1 --donate-level=1
執(zhí)行，同時嘗試解析系統(tǒng)根目錄下的 settings7283.dat數(shù)據(jù)文件。
3.1.3 開啟WEB服務(wù)
創(chuàng)建線程，搭建一個WEB服務(wù)器，提供文件下載功能，方便被攻擊方快速下拉惡意代碼。

其中，回調(diào)函數(shù)Url_parser只處理兩種請求，分別為：
POST方式接收到的Hell World?
GET方式接收到的/dnsclientprovider_userdata.mof 
當(dāng)POST方法得到的請求數(shù)據(jù)是Hell World? ，則當(dāng)前挖礦進(jìn)程會退出，邏輯如下：


其中dnsclientprovider_userdata.mof文件目前沒有捕獲到，但根據(jù)之后的payload 的請求數(shù)據(jù)來看，該文件是一個 ZIP包，里面包含了挖礦程序和攻擊程序，故達(dá)到了利用漏洞傳播的效果。
3.1.4 執(zhí)行攻擊程序&攻擊信息上報
開啟新線程，執(zhí)行C:\Windows\IME\Microsoft\spoolsv.exe，實為payload 從攻擊方下拉后解壓生成的攻擊程序。開啟新線程，每隔 900s向服務(wù)器上報信息。