背景

腾讯御见威胁情报中心发现挖矿木马家族NSA Glupteba Miner，该木马通过NSA武器（永恒之蓝/双脉冲星后门）进行攻击传播。同时传播的还有恶意挖矿木马，我们推测其正在构建独立的挖矿僵尸网络。 

通过NSA工具攻击成功后在中招机器执行payload32.dll下载木马母体app.exe，app.exe运行后会释放挖矿木马wup.exe，病毒会首先篡改Windows Defender和Windows防火墙规则，将自己添加到信任列表。安装Glupteba恶意代理木马cloudnet.exe，安装驱动Winmon.sys、WinmonFS.sys保护模块。 

2014年ESET对OperationWindigo组织的研究报告中首次提到Glupteba恶意代理木马。Operation Windigo组织感染大量Linux服务器，并在网页访问者访问受Linux感染的网站上托管的网页时，将其重定向到漏洞利用工具包，漏洞利用攻击成功则安装Boaxxe或Glupteba木马，之后通过Glupteba创建代理分发垃圾邮件。

Glupteba木马攻击流程图 

从感染趋势看，Glupteba木马家族处于平稳上升态势。其构造的僵尸网络全国各地分布，其中广东省受害最为严重，占比42%，其次是四川省（7.7%）、河南省（6%）。

详细分析

母体

app.exe拷贝自身到c:\windows\rss\csrss.exe，

写入配置信息到注册表HEKY_CURRENT_USER/Software/Microsoft/TestApp中,其中包含以下键值：

CDN：hxxp://monopeets.com

CloudnetFileURL:hxxp://cheapmusic.info/cloudnet.exe

Servers:

hxxps://weekdanys.com

hxxps://okonewacon.com

hxxps://blackempirebuild.com

然后下载hxxp://newscommer.com/app/deps.zip并解压NSA攻击组件到目录C:\Users\*****\AppData\Local\Temp\csrss\smb\*******\对内网机器进行漏洞攻击。

漏洞攻击成功后植入payload32.dll/payload64.dll，然后Payload模块在中招机器下载hxxp://newscommer.com/***/app.exe进行感染。

app.exe执行后，拷贝自身到C:\Windows\rss\Csrss.exe，并释放和下载多个病毒模块，包括wup.exe（挖矿），windefender(防火墙添加排除)， cloudnet.exe(恶意代理)，Winmon.sys、WinmonFS.sys(驱动保护)等。

windefender.exe

母体csrss.exe运行后下载hxxp://newscommer.com/app/watchdog.exe并以c:\windows\windefender.exe（采用golang编写，文件名仿冒WindowsDefender，具有一定的欺骗性）执行，windefender.exe首先将自己写入windows defender规则,

然后读注册表TestApp路径信息，去下载执行Cloudnet.exe。

恶意代理

csrss.exe安装cloudenet.exe进行恶意流量代理，后续可以通过代理来分发其他恶意程序，该样本分析如下。

解密出字串Global\Mp6c3Ygukx29GbD并以此字串创建互斥体

分别解密出字串"UUID","SOFTWARE\Microsoft\TestApp",并根据这些字串读取注册表项值,读取成功返回true

获取注册表值成功后则解密出"Global\Mp6c3Ygukx29GbDk_exit"并创建事件对象,接着解密出字串"N23"

接着初始化一个类对象,在构造函数中创建线程,并在线程中尝试加载模块,之后调用函数AppPolicyGetThreadInitializationType

解密出字串并初始化socket,并使用IOCP网络模型

生成唯一标识符GUID，并将其转换为字符串

判断是否联网，随解密生成拼接成c2服务器,向该c2服务器发送信息，解密出的C2服务器地址为

"server-1-51.bgimusic.com:50,server-1-51.0ey.ru:50,server-1-51.0jo.ru:50,server-1-51.0mh.ru:50"

自保护

csrss.exe还会加载驱动木马进行自保护，其中Winmon.sys用于隐藏对应PID进程

WinmonFS.sys用于隐藏指定文件或目录

挖矿

csrss.exe启动wup.exe进行挖矿，wup.exe由开源门罗币矿机XMRig（版本2.8.1）修改而成

运行时创建互斥体“Global\\xmrigMUTEX31337”，创建事件“Global\\wupEvent31337”

开始挖矿时通过以下命令行启动：

wup.exe -ostratum+tcp://forfunnyonly.com:30001 -u aef28eb6-e2f6-4ed5-9ddb-eb8fdd6097ef -px -k --nicehash -o stratum+tcp://forfunnyonly.com:443 -uaef28eb6-e2f6-4ed5-9ddb-eb8fdd6097ef -p x -k --nicehash -ostratum+tcp://forfunnyonly.com:80 -u aef28eb6-e2f6-4ed5-9ddb-eb8fdd6097ef -p x-k --nicehash -o stratum+tcp://xmr.pool.minergate.com:45700 -uokonew@protonmail.com -p x --nicehash -k --api-port 3433 --api-access-tokenaef28eb6-e2f6-4ed5-9ddb-eb8fdd6097ef --donate-level=1 –background

安全建议

1、服务器关闭不必要的端口，方法可参考：https://guanjia.qq.com/web_clinic/s8/585.html

2、使用腾讯御点（个人用户可使用腾讯电脑管家）的漏洞修复功能，及时修复系统高危漏洞；

3、推荐企业在Windows服务器使用腾讯御点防范病毒攻击（下载地址：https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

IOCs

IP

104.31.66.86

212.47.229.211

199.73.55.48

51.15.66.3

104.31.0.156

104.24.100.237

域名

weekdanys.com

okonewacon.com

blackempirebuild.com

speedandmusic.com

cheapmusic.info

facecommute.com            

newscommer.com            

growcommer.com

zonamusicex.com                    

toanotherday.com     

protoblues.com          

monopeets.com  

矿池：

forfunnyonly.com:30001

forfunnyonly.com:443

forfunnyonly.com:80

xmr.pool.minergate.com:45700

md5

app.exe

061e3b4bd66c5379a7bb704f4c93d56e

36a34d2712dc8c3f313fb66cb8f20c03    

25d32e001434b5970c71d22f5201684c    

05d2057835f00809ffc08e7e000232f7    

4737982e58cb98b016c9a32464102902    

cbb81f4ccf99617808ddcdc822be0c10    

5dc1b1da6b3f2fdf9e8f047ef9f5ee03    

4f61251acd929f9f6648d9d5870f4c37

52c7733bd23739af5f5cce1d9e735310

64bc7814c53c8e9d57ccffe538c5775d

cloudnet.exe

5b4a0619a89255311c420c0a8cb71b8d

86f4ddc6e34d893f251eae30090caf81

92192f8251481648c06872a35ecb2013

1882b091c96426ac5d68ca94297facbe

c81da009768cbbc7810707db5294e2a5

wup.exe

66e8ac8e4e2361f52b2df374a79697d9

Winmon.sys

4ef0c39e632279d7b3672d2efc071e5b

WinmonFS.sys

c6100c067d1e619b730bf23ab4045b17

windefender.exe

4f551cb9a7c7d24104c19ac85e55defe

Payload32.dll(Payload64.dll)

81498a1f1b73243ca50ca6bcf7eb05b4

0c3368efd11cffd70e152751d94bcd7e

winbox

ff753beefa2f24c0df8b685af8b9fc21

URL

hxxp://growcommer.com/app/app.exe

hxxp://newscommer.com/app/app.exe

hxxp://speedandmusic.com/app/app.exe

hxxp://cheapmusic.info/cloudnet.exe

hxxp://cfpoweredcdn.com/app/winboxls-1008-2.exe

hxxp://newscommer.com/41qilngy38303743/app.exe

hxxp://newscommer.com/app/watchdog.exe

hxxp://newscommer.com/app/app.exe

hxxp://newscommer.com/app/winboxscan-1003.exe

hxxp://newscommer.com/app/e7.exe

hxxp://newscommer.com/app/winboxscan-1001.exe

hxxp://newscommer.com/app/deps.zip

hxxp://newscommer.com/y4acw2fwru11liu3/latest.zip

hxxp://newscommer.com/app/vc.exe

hxxp://newscommer.com/app/mrt.exe

hxxp://newscommer.com/app/winboxtest.exe

hxxp://newscommer.com/app/al/latest64.exe

hxxp://newscommer.com/app/winboxscan-1003-2.exe

参考链接：

https://mp.weixin.qq.com/s/ZDgzIMJiAx1Wb3NY2hfhqg

https://www.welivesecurity.com/2018/03/22/glupteba-no-longer-windigo/