本文作者：信安之路病毒分析小组全体成员

样本概述

樣本信息：

CMD 命令行.txt，start.ps1，1.ps1，knbhm.jpg，svchost.exe

VirusTotal：

以下僅是 knbhm.jpg 的查詢結果

行为预览

详细分析

攻击者先通过调用 CMD 命令利用 winrm.vbs 来绕过白名单限制执行任意 XSL 代码，执行的命令行如下：

"C:UsersPubliccscript.exe" //nologo C:WindowsSystem32winrm.vbs get wmicimv2/Win32_Process?Handle=4 -format:pretty

详情请参考:

https://www.freebuf.com/articles/system/178035.html

XSL 代码会执行一段 Powershell 命令，我们将其命名爲 start.ps1，

Base64 解密后

start.ps1` 会向 **http:##ps.nameapp.website** 发起请求，并下载 `1.ps1

1.ps1 會从 http:##ss.pumkkbx.website/knbhm.jpg 下載 knbhm.jpg，落到本地磁盘，并执行， knbhm.exe 作爲一个 Loader 会在临时目录下释放假的 svchost.exe，实际上是一个挖矿程序，并以特定的参数啓动，釋放完 svchost 后調用 CMD 進行自刪除，火绒剑监控行爲如下

knbhm.exe 只做了简单且并没有什麼技术含量的混淆

釋放的 svchost.exe 是经过 Zlib 压缩后存放在 knbhm.exe 的数据段中，在 knbhm.exe 运行过程中会进行對其解压缩:

地址偏移+0xC 處存放着右移一位后的文件大小，接着分配相应大小的空间进行解压缩，Zlib 版本號 1.1.3

之后调用 CreateProcess，啓动挖矿进程。

c:Windowstempsvchost.exe -a cryptonight -o stratum+tcp://pool.minexmr.com:80 -u 47461u5xNSR9A727pZGhFZKpstAU35mfiZWvm6hzfKcEWDgJAc9sn3tDSJGPpA1MaqbgQ4wfv1PyuPAw7KVbHhF837QHdT9 -p x

挖门罗币，矿池地址：

pool.minexmr.com:80

钱包地址：

47461u5xNSR9A727pZGhFZKpstAU35mfiZWvm6hzfKcEWDgJAc9sn3tDSJGPpA1MaqbgQ4wfv1PyuPAw7KVbHhF837QHdT9

在门罗币官网上进行查询

這老哥剛開始挖……

IOC

URL：

http://ss[.]pumkkbx[.]website/knbhm[.]jpg http://ps[.]nameapp[.]website

SHA1:

3a50f2d49dc7261cafabda424273d7dd3d97703b 8647bf18b50098d8785214fcf557373407591ad9 559d409194d64a518c61e46a552011d42a075f5a