数字虚拟币交易升温 “匿影”挖矿木马再度活跃

一、概述

近期数字加密货币市场有所回暖，其中比特币更是暴涨20%，最高达到5283美元。

币圈的升级像一剂强心针，令挖矿木马跟着疯起来：多个古老的已趋沉寂的挖矿木马重新变得活跃起来。比如：NSISMiner挖矿木马，近期明显有回升。本周腾讯安全御见威胁情报中心还报告有挖矿团伙控制了3700台SQL服务器挖门罗币。

最新的监测又有新发现：”匿影”挖矿木马也已于近期升级，木马团伙更新多个域名、简化攻击流程、启用最新的挖矿账户挖PASC币。“匿影”挖矿木马通过多个功能网盘和图床隐藏自身，使用NSA武器库的多个攻击工具（如，永恒之蓝）在局域网内主动横向传播。

”匿影”挖矿木马挖取PASC币（pascal coin），与其他数字加密货币不同的是，其他币种会把币存在钱包上，而PASC币引入了账号的概念叫PASA，而账号是通过挖矿产生的，每发掘一个区块则会产生5个账号，币就存放在第一个账号上面，账号序号是从0开始的，PASC币总计发行21144600枚。当前PASC价格只有0.3美元，相比最高价的5.63美元，已经跌去95%，如果不是本次币圈再次升温，说不定已化身归零币。

二、详细分析

匿影借助“永恒之蓝”漏洞传播，黑客借助NSA武器库攻陷目标机器。

攻陷目标后在payload x86.dll/x64.dll中下载222.txt

222.txt是一段powershell代码，命令行被加密

代码作用是设置windows定时器，每隔60分钟执行下载VIP.txt

VIP.txt同样是powershell代码，功能是利用Invoke-ReflectivePEInjection.txt把2.dll.txt加载起来，ReflectivePEInjection利用反射机制实现加载url上的PE文件

2.dll.txt内置x86及x64矿机，入口处检测本机安装的杀软，如果存在杀软进程，则把矿机的名字伪装成杀软

释放矿机到C:\Users\Public\xx.exe

矿池：pasc-us-east1.nanopool.org:15556

账号：823218.0.cs

接着尝试去访问网盘地址：hxxps://anonfiles.com/efmbU4a4n2/yhzx_jpg，如果失败，则会以访问另一个网盘地址：hxxps://www.upload.ee/files/9808352/yhzx.jpg.html。上述两种方式下载的文件均将文件下载到：C:\Users\Public\abc.exe后执行。

abc.exe是WINRAR自解压包，包含了整套方程式攻击工具（利用MS17-010漏洞进行横向扩散）以及wingogon.exe，wingogon.exe的作用是释放MS_17_010_Scan.exe进而对内网445端口进行漏洞攻击。如果攻击成功，则执行payload: x86.dll/x64.dll。

三、关联分析

从木马的挖矿记录来看，该账号在4.11启用，仅一天时间已挖到26个PASC币，（约8美元，看起来好少，该病毒团伙大概希望币圈还能再涨几天）。

加上之前“匿影”挖矿木马已挖到的473个PASC币，该团伙累计挖矿已挣到近500个PSAC币（约150美元）。

木马使用的域名也都是新启用的域名，从腾讯安图对该域名的趋势评估来看，4.10号开始访问量突然增长，说明还是不少用户未安装“永恒之蓝”漏洞补丁，导致黑客入侵。

四、安全建议

1、安装永恒之蓝漏洞补丁，手动下载请访问以下页面：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

其中WinXP，Windows Server 2003用户请访问：

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

2、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登录。

3、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

4、对重要文件和数据（数据库等数据）进行定期非本地备份。

5、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

对于已中招用户，除了使用杀毒软件清理“匿影”病毒外，还可按以下提示手动删除：

删除目录及相关文件

C:\Users\Public\ZhuDongFangYu.exe

C:\Users\Public\QQPCRTP.exe

C:\Users\Public\kxescore.exe

C:\Users\Public\igfxTry.exe

C:\Users\Public\flrefox.exe

C:\Users\Public\chromme.exe

C:\Users\Public\abc.exe

删除window计划任务

DnsCore

IOCS

挖矿账号

823218.0.cs

Domain

urlxxx.at.ua

URL

hxxps://urlxxx.at.ua/222.txt

hxxps://urlxxx.at.ua/vip.txt

hxxps://urlxxx.at.ua/2.dll.txt

hxxps://www.upload.ee/files/9808352/yhzx.jpg.html

hxxps://anonfiles.com/efmbU4a4n2/yhzx_jpg

MD5

4dacc2d1e2d7207c9a706efb5366200c

8c34223ba0388a2cd113b8785d8f1c77

77fb6426de9fee0c2944ebcfb8d98347

47e5a980ebbae3f72ccc96f74e0b5415

c8a565625a1529d5988ffbb3489fa053

7d88b3b2dc76e27abf8034f31e9cc614

b8e72b4a1c95455bd86ee7cef71b9ff4