1.   样本描述

该恶意软件利用WindowsSMB漏洞传播，释放虚拟货币矿机挖矿的肉鸡集群，并伪装成系统进程spoolsv.exe，其自身在释放攻击载荷之后，还会开启对局域网络445端口的疯狂扫描，一旦发现局域网内开放的445端口，就会将目标IP地址及端口写入EternalBlue的配置文件中，然后进行溢出攻击。感染者将根据矿池地址和矿机账号为宿主进行淘金！

2.   样本分析

1、通过对系统进程检查发现spoolsv.exe是一个压缩文件，使用zip解压此文件后，发现了NSA攻击工具包。同时在解压之后的文件中也找到了与样本同名的两个可执行体，以及同名的xml配置文件。

spoolsv.exe并非简简单单的释放攻击包，其自身在释放攻击载荷之后，还会开启对局域网络445端口的疯狂扫描，一旦发现局域网内开放的445端口，就会将目标IP地址及端口写入EternalBlue的配置文件中，然后启动svchost.exe进行第1步溢出攻击。第1步攻击的结果会记录在stage1.txt中，攻击完成后，母体会检查攻击是否成功，若攻击成功，则继续修改DoublePulsar的配置文件，并启动spoolsv.exe（压缩包内的DoublePulsar，并非母体）在目标计算机安装后门，此称之为第2步攻击，结果会记录在stage2.txt中。

被安装了DoublePulsar后门的计算机中lsass.exe进程被注入了一段shellcode，这和外网公布的DoublePulsar的行为一模一样，但样本中的这段shellcode利用lsass.exe进程在局域网被感染的其他计算机上下载了另一个神秘的可执行文件：

在局域网其他电脑上下载一个母体文件，以便于二次传播。第三，释放一个ServicesHost.exe进程并以指定的参数执行这个进程。

继续跟踪这个ServicesHost.exe以及启动参数，从此程序的启动参数中看到了一个国外各种数字货币的矿池，网站提供了各种数字货币的矿池地址，只要在网站注册账户，就可以利用矿机参与挖矿，挖的正式一种不是很常见的数字货币——门罗币。

3.   分析结论

该作者利用较新的SMB漏洞使恶意软件进行传播、释放和执行挖矿流程，赚取虚拟货币。

4.   防御建议

1.及时更新操作系统补丁；

2.加强对445等端口（其他关联端口如： 135、137、139）的内部网络区域访问审计，及时发现非授权行为或潜在的攻击行为；

3.已中木马的用户，可使用杀毒工具进行全盘查杀并保持良好上网习惯，切勿运行陌生程序，安装安全软件等。

关注我们

对web安全有兴趣的小伙伴可以关注或加入我们，TideSec安全团队(http://www.TideSec.net)：