感谢腾讯御见威胁情报中心来稿！

原文：https://s.tencent.com/research/report/824.html

腾讯安全御见威胁情报中心检测到“快Go矿工”（KuaiGoMiner）挖矿木马攻击。该木马利用NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击，并在攻击成功后植入挖矿和远控木马，已控制数万台电脑。

一、背景

腾讯安全御见威胁情报中心检测到“快Go矿工”（KuaiGoMiner）挖矿木马攻击。该木马利用NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击，并在攻击成功后植入挖矿和远控木马，已控制数万台电脑。因其使用的C2域名中包含“kuai-Go”，御见威胁情报中心将其命名为“快Go矿工”（KuaiGoMiner）。

“快Go矿工”（KuaiGoMiner）将挖矿程序伪装成系统进程explorer.exe、 *** ss.exe运行，截止目前已挖矿获得门罗币242.7个，折合人民币9万余元。同时，病毒在攻陷机器上植入的gh0st远控木马，具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能，中毒电脑会面临机密信息泄露的风险。

据腾讯御见威胁情报中心统计数据，在微软发布“永恒之蓝”相关漏洞补丁过去两年多之后，仍有约30%用户未修复“永恒之蓝”漏洞(MS17-010)，这导致利用该漏洞攻击的病毒始终层出不穷。“快Go矿工” (KuaiGoMiner)分布在全国各地，受害最严重地区为广东、江苏、河南、北京。

从“快Go矿工” (KuaiGoMiner)影响的行业来看，主要为IT行业、制造业、科研和技术服务业。

二、详细分析

漏洞攻击

“快Go矿工” (KuaiGoMiner)在攻陷的系统下载攻击模块，释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具，释放到C:\Windows\Fonts\cd\目录下。

开始攻击后依次启动脚本go.vbs->rme.bat->cmd.bat，并在cmd.bat中完成机器出口IP查询、随机IP地址生成，然后通过分别针对局域网IP地址和外网随机IP地址进行445/139端口扫描。

最后在load.bat和loab.bat中针对开放445/139端口的机器进行永恒之蓝漏洞攻击。攻击成功后在目标机器执行Payload，将Doublepulsar.dll注入lsass.exe执行，将Eternalblue.dll注入explorer.exe执行。

Doublepulsar.dll或Eternalblue.dll执行后在目标机器下载m.exe或n.exe，保存至C:\safe.exe并启动，开始新一轮的感染和攻击。

挖矿

“快Go矿工”（KuaiGoMiner）下载释放挖矿模块文件到C:\Windows\Fonts\data\目录下。其中 *** ss.exe为32位矿机程序，explorer.exe为64位矿机程序，Services.exe为Windows服务安装工具NS *** 。

通过user.vbs启动user.bat。并在user.bat中删除计划任务”Flash_Update”、”Update”、”Update_windows”，删除旧服务和计划任务“Microsoft_Update”。之后判断系统版本，利用NS *** (services.exe)分别将 *** ss.exe和explorer.exe安装服务至32位和64位系统上，使用的服务名称为“Microsoft_Update”。

矿机采用开源挖矿程序XMRig编译，挖矿使用矿池地址：xmr-eu1.nanopool.org:14444，

钱包地址：

43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4

查询矿池目前挖矿获得收益为242.7个XMR，折合人民币约91000元。

远程控制

“快Go矿工”（KuaiGoMiner）释放经gh0st修改而成的远控木马到目录

C:\Users\[User]\AppData\Local\Temp\<random>.dll下。

连接C2地址fwq.kuai-go.com:12353，根据服务器返回的指令完成搜集系统信息、上传下载文件、删除系统记录、查看系统服务、运行和退出程序、远程桌面登陆、键盘记录等远程功能。

三、安全建议

1、 快Go矿工（KuaiGoMiner）手动清除 *** ：

删除目录

C:\Windows\Fonts\cd\

C:\Windows\Fonts\cd\data\

删除文件

C:\Users\[User]\AppData\Local\Temp\<random>.dll

删除计划任务“Microsoft_Update”

(执行文件路径C:\Windows\Fonts\cd\data\explorer.exe

或C:\Windows\Fonts\cd\data\ *** ss.exe)

2、针对MS010-17 “永恒之蓝”漏洞的防御：

服务器暂时关闭不必要的端口（如135、139、445）， *** 可参考：https://guanjia.qq.com/web_clinic/s8/585.html

下载并更新Windows系统补丁，及时修复永恒之蓝系列漏洞：

XP、Windows Server 2003、win8等系统访问：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows 10,Windows Server 2016等系统访问：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、 建议企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击。

4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。

IOCs

MD5

339bec2b3e598b98218c16ed1e762b2a

57bd72d6dc95ff57b5321a62b9f7cde2

57003ef2a67c70f8959345f342536aa5

15d2c95fe9fe4134064e9a4f49d63cf1

20010658d789192eb69499bc5c1c9f11

546a5c41ec285686c9c082994ef193f5

830f8e648d2a7da4d512b384e29e9453

8bcf9ba698b20a6fb2fef348b8c55b1d

c17f7c9c9265c4f8007d6def58174144

6dc336b2b1b4e8d5c8c5959c37b2729d

3e6c981f627122df8b428aac35cb586e

222d8a0986b8012d80edbecdc5c48714

532a0904faff2a3a8c79594c9df99320

IP

110.157.232.117

104.233.201.209

Domain

w.zhzy999.net

images.kuai-go.com

update.kuai-go.com

wx.kuai-go.com

sex.kuai-go.com

usa.kuai-go.com

korea.kuai-go.com

der.kuai-go.com

fwq.kuai-go.com

URL

http[:]//w.zhzy999.net/images/m.exe

http[:]//3.zhzy999.net/images/n.exe

http[:]//images.kuai-go.com/images/logo.gif

http[:]//der.kuai-go.com/img/1.rar

http[:]//der.kuai-go.com/img/2.rar

http[:]//110.157.232.117/images/m.exe

http[:]//110.157.232.117/images/n.exe

http[:]//110.157.232.117/img/1.rar

http[:]//110.157.232.117/img/2.rar

http[:]//110.157.232.117/img/3.rar

钱包

43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4