導語：近日，騰訊游戲安全中心捕獲一款網吧內傳播的惡意軟件。原以為是常規的網吧盜號木馬，但詳細分析之后發現并非如此。經證實該惡意軟件是目前發現的首款利用Windows SMB漏洞傳播，釋放虛擬貨幣礦機挖礦的肉雞集群。
0×01 來源
2017年7月10日左右，由騰訊網吧守護TSPN和順網聯合團隊在某網吧內發現異常的svchost.exe進程，以及與之相關spoolsv.exe進程，遂提取樣本到安全中心進行人工核實。
0×02 真身
拿到樣本后從外觀看與系統自帶的進程無異，但查看屬性發現spoolsv.exe是一個壓縮文件，于是開始產生警覺。

嘗試使用7zip解壓此文件后，發現了驚天大秘密——NSA 攻擊工具包。從字面上我們可以看到永恒之藍、永恒冠軍字樣的攻擊配置文件。同時我們在解壓之后的文件中也找到了與樣本同名的兩個可執行 體，以及同名的xml配置文件。

打開svchost.xml查看一下，發現正是永恒之藍的攻擊配置文件。

打開spoolsv.xml查看一下，發現了另一個NSA工具DoublePulsar的攻擊配置文件。

于是猜測壓縮包內的 svchost.exe 是 EternalBlue 攻擊程序，壓縮包內的 spoolsv.exe 則是 DoublePulsar 后門。
嘗試手工運行這兩個可執行文件，發現的確是命令行工具，只是配置文件不正確，無法完成攻擊。

0×03 毒手
了解到樣本的真身之后，我們開始認為這是一個和WannaCry一樣的勒索病毒，但是仔細想一下發現樣本并沒有造成網吧電腦的大規模爆發，也沒有業主有反饋，于是懷疑這并非是一起簡單的勒索病毒事件。
深入分析后發現初始的spoolsv.exe（我們稱之為母體）并非簡簡單單的釋放攻擊包，其自身在釋放攻擊載荷之后，還會開啟對局域網絡445端口的瘋狂掃描，一旦發現局域網內開放的445端口，就會將目標IP地址及端口寫入EternalBlue的配置文件中，然后啟動svchost.exe進行第1步溢出攻擊。第1步攻擊的結果會記錄在stage1.txt中，攻擊完成后，母體會檢查攻擊是否成功，若攻擊成功，則繼續修改DoublePulsar的配置文件，并啟動spoolsv.exe（壓縮包內的DoublePulsar，并非母體）在目標計算機安裝后門，此稱之為第2步攻擊，結果會記錄在stage2.txt中。





這就完了嗎？僅此而已嗎？那這玩意兒到底是為了啥？這不科學，沒有病毒僅僅是為了傳播兒傳播，但是此時我們的樣本在實驗室內已經不再繼續工作了。于是我們在網吧中繼續抓取到這東西的精彩后續：被安裝了DoublePulsar后門的計算機中lsass.exe進程被注入了一段shellcode，這和外網公布的DoublePulsar的行為一模一樣，但樣本中的這段shellcode利用lsass.exe進程在局域網被感染的其他計算機上下載了另一個神秘的可執行文件，而這個文件正是我們樣本中一直沒有提到的svchost.exe（與母體在同一目錄下）。


而這個svchost.exe可不是EternalBlue。那么它是啥？通過仔細的分析，我們發現它會做三件事情：
第一，先把自己添加到計劃任務的一個不起眼的地方，讓人感覺是一個合法的任務，從而達到自啟動的目的。

第二，在局域網其他電腦上下載一個母體文件，以便于二次傳播。第三，釋放一個ServicesHost.exe進程并以指定的參數執行這個進程。

繼續跟蹤這個ServicesHost.exe以及啟動參數，發現了一個驚天大秘密，也就是整套傳播機制的終極目的——挖礦。
從此程序的啟動參數中我們看到了一個敏感的域名“xmr.pool.minergate.com”,Google一下發現這是一個國外各種數字貨幣的礦池，網站提供了各種數字貨幣的礦池地址，只要在網站注冊賬戶，就可以利用礦機參與挖礦。而我們的樣本中的礦機則是一款GITHUB上的開源礦機xmrig ，挖礦的賬戶則是dashcoin@protonmail.com這個賬戶，挖的正式一種不是很常見的數字貨幣——門羅幣。



0×04 橫財
說道門羅幣我們也要看一下這東西到底值多少錢，隨便找了個交易平臺看了一下，實時價格約人民幣277元，價值雖然沒有BTC那么高，但也不低，挖礦收益應該不少。

0×05 總結
總體來看，惡意軟件的釋放、執行流程比較傳統，但利用的攻擊和漏洞相對比較新，在SMB漏洞被廣泛利用到勒索軟件的時候，作者卻開啟了另一扇淘金的大門。下面為大家圖示總結一下此款惡意軟件的傳播和執行流程。

從VDC管家平臺上看，此木馬的傳播量呈逐日上升階段，還需要持續關注打擊。在發文時，此款木馬已經能夠被騰訊電腦管家識別，并有效清除。




最后，提醒各位玩家及網吧業主應該及時更新操作系統補丁，避免被多次割韭菜，導致WannaCry傷疤未愈，僵尸礦機又來撒鹽！