“Blouiroet”挖矿木马复苏 控制多国肉鸡电脑挖矿

一、概述

 “影子经纪人” (Shadow Brokers)在2017年4月公开了多个Windows 远程漏洞利用工具（大名鼎鼎的NSA武器库），当时可以覆盖全球70%的服务器，影响非常巨大，两年中大量黑客组织使用该武器库攻击企业及个人用户。两年之后，虽有大部分企业及个人用户已经安装补丁，但仍有相当多的服务器在倔强“裸奔”，黑客团伙仍然可以频频利用该系列攻击工具肆意传播病毒木马。

近期由于各种加密虚拟币市场回暖，挖矿木马变得更为活跃。腾讯安全御见威胁情报中心监测到“Blouiroet”挖矿木马复苏，该木马由delphi语言编写，木马运行时，会首先结束所有其他挖矿木马进程，独占系统资源运行门罗币挖矿程序。

“Blouiroet”挖矿木马复苏之后，首先更新多个IP、域名等基础设施，该木马团伙还自建多个矿池，堪称“家里有矿”。“Blouiroet”挖矿木马控制的肉鸡电脑分布在多个国家，俄罗斯、乌克兰等地受害严重，中国有部分电脑系统中招。

腾讯御点终端安全管理系统及腾讯电脑管家均可查杀“Blouiroet”挖矿木马。

二、详细分析

         黑客利用NSA武器库攻入用户电脑，可以看到此次只使用了“永恒之蓝”利用工具，入侵成功后植入“双脉冲星”

Scan.txt包含了黑客扫描的IP段

入侵成功后植入payload，三个版本的入口处分别下载a.rar、b.rar、c.rar

下载后是一个用NSIS打包的程序nw.exe，释放文件到syswow64目录

之后把svchosts.exe注册为服务程序

服务名为AudioServer（名称伪装为音乐播放相关的服务），注册表路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AudioServer

Svchosts入口处读取parameters.ini配置，找到mainer_exe的配置路径，上报信息至mainer_param_str列表

如果上报字段显示未发现矿机，则服务器返回xmrig矿机下载地址atskiysatana.tk/xmrig32.zip，根据配置解压到C:\Program Files\Common Files\System\

矿机基于xmrig2.14编译，矿机启动后，根据proceslist内容持续检测进程，如果发现就停止挖矿程序，以防被发现异常。

同时监测同类并杀死同类，如下常见的挖矿木马使用的路径，如：匿影、wannaminer等。

矿机安装成功后，上报数据，服务器地址在parameters.txt的serverHS节

如果serverHS配置的域名无法访问，则使用内置的两个IP

上报的矿机状态

该木马可同时下发多种挖矿木马，为避免矿机名字冲突会对矿机进行更名

Svchosts.exe定时检测更新，如果发现有新版本，则从hxxp://hashserver1.tmweb.ru/pocket/HS_Svc.exe下载更新

如果从该地址下载失败，则用另外的地址hs-fileserver.info下载，下载前会首先获取访问token

下载完成后，释放update.bat完成更新

三、关联分析

根据该木马释放在syswow64的文件目录关系，发现该挖矿木马就是去年国外安全研究机构爆出的Blouiroet家族。

且其中一个域名完全相同：hs-fileserver.info

腾讯安全御见威胁情报中心延续使用病毒家族名“Blouiroet”。

四、安全建议

1、安装永恒之蓝漏洞补丁，手动下载请访问以下页面：

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

其中WinXP，Windows Server 2003用户请访问：

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

2、尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆。

3、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

4、对重要文件和数据（数据库等数据）进行定期非本地备份。

5、若发现系统资源消耗异常增高，管理员要考虑挖矿木马运行的可能，可使用安全软件检测。

6、在终端/服务器部署专业安全防护软件，Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。

对于已中招用户，除了使用腾讯御点和腾讯电脑管家清理“Blouiroet”病毒外，还可手动做以下操作：

删除文件

C:/Users/Public/nw.exe

C:/Windows/SysWOW64/svchosts.exe

C:/Windows/SysWOW64/AutoCloseExe.txt

C:/Windows/SysWOW64/parameters.ini

C:/Windows/SysWOW64/blockpro.txt

C:/Windows/SysWOW64/updater.txt

C:/Windows/SysWOW64/desinf.bat

C:/Windows/SysWOW64/update.bat

C:/Windows/SysWOW64/processlist.txt

C:/Windows/SysWOW64/restart.bat

C: /Program Files/Common Files/System/mainer.zip

C: /Program Files/Common Files/System/iexplorer.exe

C: /ProgramData/lsass2.exe

删除注册表服务

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AudioServer

IOCs

IP

62.76.74.245

62.76.74.170

151.106.2.140

URLs

hxxp://hs-fileserver.info/token.key

hxxp://hs-fileserver.info/

hxxp://hs-fileserver.info/HS_Svc.exe

hxxp://hashserver1.tmweb.ru/pocket/HS_Svc.exe

hxxp://vivacomandante.ml/nw.exe

hxxp://vivacomandante.ml/rundll.sfx.exe

hxxp://vivacomandante.ml/bin.sfx.exe

hxxp://vivacomandante.ml/a.rar

hxxp://vivacomandante.ml/c.rar

hxxp://atskiysatana.tk/xmrig64.zip

hxxp://atskiysatana.tk/xmrig32.zip

hxxp://atskiysatana.tk/a.rar

hxxp://atskiysatana.tk/x64.exe

hxxp://atskiysatana.tk/c.rar

hxxp://atskiysatana.tk/b.rar

Domain

yomatherfucker.ml

km1.crazyhohol.icu

km2.crazyhohol.icu

km3.crazyhohol.icu

slavaukraini.crazyhohol.icu

schpillivilli.ml

schpillivilli.cf

schpillivilli.gq

schpillivilli.ga

halligalli.ga

halligalli.ml

halligalli.tk

halligalli.cf

halligalli.gq

illbeback.ml

vivacomandante.ml

vivacomandante.cf

vivacomandante.ga

atskiysatana.tk

矿池

schpillivilli.gq:3333

halligalli.gq:4444

slavaukraini.crazyhohol.icu:4444

MD5s

5ca65d59d5b9c74c0ac95d9f49b52794

310aebd720f478f7ef1620493f415184

e39470ee8949d380c9aa335e954d6523

ee4dc521b15102ae682ce62c3b864557

2fcddbe185878dd586c2885da375deac

6f40a99a6d9f2b39290c4fb664598e99

133a6b7f2720a16a5b2fbadd65b5e65c

d2a96b0e33a63546b156aaff3f4909af

8aa982bac930dbc5f62665a6b161e05e

0f39cf8afabbf9178887267d03ff7455

cb2cb95ca44cf0f63467899b0a84c25f

12fba5ff8c886ec0df9e3caceb4648ea

5682e39e472764b07fc5d0319e50c897

71ea72f6c287003690b06458b4ade1f8

5b9f638f7f1bc2319a1a434aafd8c872

8f24e72f1aad818ac460b2d04bfc9677

3b7699c3282a9188c8ea4abb07e0ae72

a20754e9d236cb04f4136def77c7b9ee

4680bc21194a4c5a9e8624f3595375cf

81b474e80816f2a5cba9219277b9a46d

195679ba0ff6c0c0a043960b955b497a

249b6ea0f0127e74b63597cd931582a9

2ab593cba91da115502e113b15fe4fb9

4005ea79534fa316d8e505df667b6c7b

4acf9b1006a4d2d66cb6e72553e586b4

4d5b43fa547a852cb9ca4d15c1f6f399

4f422c27150a1e00d8787820b69835ba

500c8d8ff2e9bb85a1dc8c00c6082d79

6094ac379e1c5afc845e510cd148fdf6

683711e6d5c8e4bb3c24be5baf433d98

708a6c068948dba1838b28cda9d85e07

7637bbe9f411425bb61012f8239c162d

7a35300280effeda72024087c6681d48

7c74b6674b51ec268d6779e308917a17

8ccd54e55e01492a4f2f0ae08fa3c9f7

92e5a2f072eb904166f59bad0f8102cb

c185300634b530ce54e4b7dd176b4368

ce02eee72dcbf63991d87f26eea88749