ThanatosMiner（死神矿工）来了，腾讯安全捕获利用 BlueKeep 高危漏洞攻击传播的挖矿木马

ThanatosMiner（死神矿工）来了，腾讯安全捕获利用 BlueKeep 高危漏洞攻击传播的挖矿木马

• 来源:网络
• 更新日期:2020-06-30

摘要：一、背景腾讯安全威胁情报中心检测到挖矿木马 ThanatosMiner（死神矿工）利用 BlueKeep 漏洞 CVE-2019-0708 攻击传播。攻击者将公开的 Python 版本 BlueKeep 漏洞利用代码打包

一、背景

腾讯安全威胁情报中心检测到挖矿木马 ThanatosMiner（死神矿工）利用 BlueKeep 漏洞 CVE-2019-0708 攻击传播。攻击者将公开的 Python 版本 BlueKeep 漏洞利用代码打包生成 scan.exe，大范围扫描随机生成的 IP 地址进行探测和攻击。漏洞利用成功后执行 shellcode 下载 C# 编写的木马 svchost.exe，然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因 Payload 程序 Assembly Name 为 ThanatosCrypt，将该挖矿木马命名为 ThanatosMiner（死神矿工）。

2019 年 5 月 15 日，微软发布了针对远程桌面服务（Remote Desktop Services ）的关键远程执行代码漏洞 CVE-2019-0708 的安全更新，该漏洞影响某些旧版本的 Windows。攻击者一旦成功触发该漏洞，便可以在目标系统上执行任意代码，该漏洞的触发无需任何用户交互操作——意味着，存在漏洞的电脑只需要连网，勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep 漏洞（CVE-2019-0708）是所有安全厂商都异常重视的高危漏洞。

该漏洞影响旧版本的 Windows 系统，包括：

Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP。

Windows 8 和 Windows 10 及之后版本不受此漏洞影响。

二、样本分析

攻击模块 scan.exe 通过 pyinstaller 打包 Python 代码生成 exe，使用 pyinstxtractor.py 可解压出 Python 编译后的无后缀文件 scan。pyinstaller 在打包 pyc 的时候会去掉 pyc 的 magic 和时间戳，而打包的系统库文件中这两项内容会被保留，所以可以查看解压出的系统库中的 magic 和时间戳并添加到 scan 的文件头，然后将其命名为 scan.pyc，并通过 uncompyle6 进行反编译，可以还原的 Python 代码 scan.py。

分析发现，Python3 版本编译后的二进制文件开头为 e3 00 00 00 00 00 00 00，Python2 版本通常为 63 00 00 00 00 00 00 00。

scan.py 获取本机同网段 IP 地址，以及随机生成的外网 IP 地址扫描 3389 端口。

利用公开的 BlueKeep 漏洞 CVE-2019-0708 攻击代码进行攻击。

漏洞攻击成功执行 shellcode 命令，在 %Temp% 目录下创建 DO.vbs，下载执行 http [ : ] //download.loginserv.net/svchost.exe。

Payload 木马 svchost.exe 采样 C# 编写，代码经过 Dotfuscator 混淆处理，可使用开源工具 De4dot 去除部分混淆，程序的 Assembly Name 为 ThanatosCrypt。

运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。

SYSTEMCurrentControlSetEnumSCSIDisk&Ven_VMware_&Prod_VMware_Virtual_S

SYSTEMCurrentControlSetControlCriticalDeviceDatabaseroot#vmwvmcihostdev

SYSTEMCurrentControlSetControlVirtualDeviceDrivers

SOFTWAREVMWare, Inc.VMWare Tools

SOFTWAREOracleVirtualBox Guest Additions

C:windowsSysnativeDriversVmmouse.sys

C:windowsSysnativeDriversvmci.sys

C:windowsSysnativeDriversvmusbmouse.sys

C:windowsSysnativeVBoxControl.exe

通过 IsDebuggerPresent ( ) 、IsDebuggerAttached ( ) 、CheckRemoteDebuggerPresent ( ) 判断进程是否被调试。

若无虚拟机环境、未处于被调试状态则继续执行。

然后 svchost.exe 继续下载 http [ : ] //download.loginserv.net/scan.exe 进行扫描攻击，以及下载 http [ : ] //download.loginserv.net/xmrig.exe 挖矿门罗币。

IOCs

Domain

download.loginserv.net

MD5

scan.exe

608915ba7d1a3adbfb632cd466d6a1ca

svchost.exe

2db2c1de5797eac67d497fe91cb7448f

shell32.exe

a66144032e62a6f6fa9b713c32cb6627

857b1f5e9744006241fe2d0915dba201

windowsservice.exe

6d28a08caf2d90f5d02a2bf8794c7de9

thanatoscrypt.exe

7afb5dd9aba9d1e5dcbefb35d10cc52a

mine.exe

ec0267e5ef73db13e880cf21aeb1102a

URL

http [ : ] //download.loginserv.net/svchost.exe

http [ : ] //download.loginserv.net/xmrig.exe

http [ : ] //download.loginserv.net/scan.exe

http [ : ] //download.loginserv.net/mine.exe