一、概述
騰訊御見威脅情報中心近期檢測到利用ZombieboyTools傳播的挖礦木馬家族最新活動。木馬對公開的黑客工具ZombieboyTools進行修改，然后將其中的NSA攻擊模塊進行打包利用，對公網以及內網IP進行攻擊，并在中招機器執行Payload文件x86/x64.dll，進一步植入挖礦、RAT（遠程訪問控制）木馬。

漏洞掃描攻擊工具ZombieboyTools 
騰訊御見威脅情報中心在2017年12月已有披露Zombieboy木馬情報，而后的2018年5月及7月友商也發布了相關情報。在本報告中首先對黑客于2018.08.14注冊并使用的C2域名fq520000.com及其樣本進行分析，然后通過對比Zombieboy木馬在幾輪攻擊中的攻擊手法、惡意代碼特征、C2域名及IP、端口特征的一致性，推測得出攻擊來源屬于同一團伙，并將其命名為ZombieboyMiner（僵尸男孩礦工）團伙。
騰訊御見威脅情報中心監測發現，ZombieboyMiner（僵尸男孩礦工）木馬出現近一年來，已感染7萬臺電腦，監測數據表明該病毒非常活躍。

病毒感染趨勢
在全國各地均有中毒電腦分布，廣東、江蘇、浙江位居前三。 

影響區域分布

騰訊安圖高級威脅追溯系統查詢團伙信息） 
二、詳細分析

ZombieboyMiner攻擊流程
Las.exe分析
運行后釋放端口掃描工具，NSA利用攻擊工具，以及payload程序到C:
\windows\IIS目錄下。然后利用端口掃描工具，掃描局域網中開放445端口的機器，再利用NSA工具將payload（x86.dll或x64.dll）注入局域網內尚未修復MS17-010漏洞的機器。

樣本釋放文件 

445端口掃描批處理文件

EternalBlue配置文件 

Doublepulsar配置文件 
payload分析
payload（x86.dll或x64.dll）從C2地址ca.fq520000.com下載123.exe并在本地以名稱sys.exe執行。

payload行為
sys.exe分析
sys.exe下載sm.fq520000.com:443:/1并以文件名las.exe執行：

sys.exe行為 
同時從sm.fq520000.com:443:/A.TXT獲取URL地址，使用該地址下載RAT（遠程訪問控制木馬）并以文件名84.exe執行（目前1.exe，4~9.exe任可下載）。

A.TXT內容 
CPUInfo.exe分析
CPUInfo.exe白利用WINDOWS系統程序Srvany.exe來進行啟動，然后作為主程序負責拉起攻擊進程以及挖礦進程。


白利用Srvany.exe啟動
svsohst.exe分析
svsohst.ex負責啟動門羅幣挖礦程序crss.exe，啟動礦機前設置礦池地址ad0.fq520000.com以及錢包
44FaSvDWdKAB2R3n1XUZnjavNWwXEvyixVP8FhmccbNC6TGuCs4R937YWuoewbbSmMEsEJuYzqUwucVHhW73DwXo4ttSdNS作為挖礦參數，然后通過ShellExecute啟動挖礦進程。