ZombieboyMiner（僵尸男孩矿工）控制7万台电脑挖门罗币

一、概述

腾讯御见威胁情报中心近期检测到利用ZombieboyTools传播的挖矿木马家族最新活动。木马对公开的黑客工具ZombieboyTools进行修改，然后将其中的NSA攻击模块进行打包利用，对公网以及内网IP进行攻击，并在中招机器执行Payload文件x86/x64.dll，进一步植入挖矿、RAT（远程访问控制）木马。

漏洞扫描攻击工具ZombieboyTools

腾讯御见威胁情报中心在2017年12月已有披露Zombieboy木马情报，而后的2018年5月及7月友商也发布了相关情报。在本报告中首先对黑客于2018.08.14注册并使用的C2域名fq520000.com及其样本进行分析，然后通过对比Zombieboy木马在几轮攻击中的攻击手法、恶意代码特征、C2域名及IP、端口特征的一致性，推测得出攻击来源属于同一团伙，并将其命名为ZombieboyMiner（僵尸男孩矿工）团伙。

腾讯御见威胁情报中心监测发现，ZombieboyMiner（僵尸男孩矿工）木马出现近一年来，已感染7万台电脑，监测数据表明该病毒非常活跃。

病毒感染趋势

在全国各地均有中毒电脑分布，广东、江苏、浙江位居前三。

影响区域分布

腾讯安图高级威胁追溯系统查询团伙信息）

二、详细分析

ZombieboyMiner攻击流程

Las.exe分析

运行后释放端口扫描工具，NSA利用攻击工具，以及payload程序到C:

\windows\IIS目录下。然后利用端口扫描工具，扫描局域网中开放445端口的机器，再利用NSA工具将payload（x86.dll或x64.dll）注入局域网内尚未修复MS17-010漏洞的机器。

样本释放文件

445端口扫描批处理文件

EternalBlue配置文件

Doublepulsar配置文件 

payload分析

payload（x86.dll或x64.dll）从C2地址ca.fq520000.com下载123.exe并在本地以名称sys.exe执行。

payload行为

sys.exe分析

sys.exe下载sm.fq520000.com:443:/1并以文件名las.exe执行：

sys.exe行为

同时从sm.fq520000.com:443:/A.TXT获取URL地址，使用该地址下载RAT（远程访问控制木马）并以文件名84.exe执行（目前1.exe，4~9.exe任可下载）。

A.TXT内容

CPUInfo.exe分析

CPUInfo.exe白利用WINDOWS系统程序Srvany.exe来进行启动，然后作为主程序负责拉起攻击进程以及挖矿进程。

白利用Srvany.exe启动

svsohst.exe分析

svsohst.ex负责启动门罗币挖矿程序crss.exe，启动矿机前设置矿池地址ad0.fq520000.com以及钱包

44FaSvDWdKAB2R3n1XUZnjavNWwXEvyixVP8FhmccbNC6TGuCs4R937YWuoewbbSmMEsEJuYzqUwucVHhW73DwXo4ttSdNS作为挖矿参数，然后通过ShellExecute启动挖矿进程。

设置挖矿参数

ShellExecute启动矿机

crss.exe分析

crss.exe是矿机程序，采用开源挖矿程序XMRig2.8.1编译。

矿机代码

84.exe分析

该文件将自身拷贝到C:\Windows\System32\seser.exe，设置其为隐藏属性并将其安装为服务dazsksgmeakjwxo从而可以开机启动。

RAT安装服务自启动

然后解密出DLL文件并加载执行，DLL文件实际上为Zegost木马，运行后会搜集按键信息、软件安装信息发送到C2地址dns.fq520000.org，并具有屏幕控制，安装执行文件等功能。

检测杀毒软件

获取按键信息

解密C2地址

与C2通信

发送和接收消息

接收并解密数据

三、关联分析

我们将2017年9月以来腾讯御见早期发布的Zombieboy分析报告、友商发布的Zombieboy分析报告、友商发布的NSASrvanyMiner分析报告整理成时间线，并进一步通过攻击手法、恶意代码特征、C2域名及IP、端口特征的一致性得出结论：近期发现和已披露的Zombieboy木马发起的攻击来源为同一团伙。

Zombieboy木马活动

3.1 攻击手法对比

在几次攻击中均使用黑客工具Zombieboy修改而成的NSA攻击程序，并在攻击成功后执行payload文件X86/X64.dll，且payload文件PDB信息都包含特征“Zombieboy”。同时payload代码均从C2地址下载123.exe并在本地以文件名sys.exe执行，然后以sys.exe为Loader程序下载其恶意组件。木马进入目标机器后，除了进行扩散攻击外，恶意行为类型均为挖矿和安装RAT。

Zombieboy木马PDB

payload代码对比

3.2 C2域名对比

3.2.1 二级域名特征

C2域名在命名时以dns，ca，sm，ms，note，stop等字符作为二级域名前缀。

C2域名列表

另外2018.02.27~2018.05.21注册的一级C2域名在结构上存在“AB、BA”的特点，例如posthash.org与hashpost.org，hashnice.org与nicehash（被使用为二级域名前缀）。

3.2.2 域名解析IP地址

2018.02.27以后注册的C2域名都曾解析到59.125.179.217/211.23.160.235，该IP定位显示为台湾新北市板桥区，这些域名同时指向这一地址的IP表明他们具有一定的关联。

反查域名

3.2.3 HFS端口特征

用于木马下载的HFS服务均使用344/443端口，HFS服务的端口可由作者任意指定，在这几次攻击中都使用相同或相似的端口可能是同一作者延续了自己的使用习惯。

母体木马下载URL：

call.ppxxmr.org:344/123.exe

ca.posthash.org:443/123.exe

ca.hashpost.org:443/123.exe

ca.hashnice.org:443/123.exe

ca.fq520000.com:443/123.exe

四、总结

基于团伙的攻击手法、传播的的恶意程序类型以及攻击过程中使用的IP、域名、端口等信息的一致性，我们认为2017年9月以来利用Zombieboy发起的多轮攻击来源为同一团伙，该团伙通过不断更新C2地址作为NSA攻击后Payload下发地址，同时使用注册的二级C2域名进行自建矿池挖矿门罗币，同时在中招机器植入RAT木马，搜集用户敏感信息上传至木马服务器，基于以上特点腾讯御见威胁情报中心将该团伙命名为ZombieboyMiner挖矿团伙。

ZombieboyMiner挖矿及RAT信息

五、安全建议

1.服务器关闭不必要的端口，例如139、445端口等。

2.手动安装“永恒之蓝”漏洞补丁请访问以下页面

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

其中WinXP，Windows Server 2003用户请访问

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

3.企业用户建议全网安装御点终端安全管理系统

（ https://s.tencent.com/product/yd/index.html ）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。