新版SnakeMiner再度现身，警惕数据库密码遭到恶意破解

近期，360安全大脑捕获到SnakeMiner挖矿木马的最新版本。此版本新增PrintSpoofer提权工具，通过漏洞成功提权后会在用户电脑上植入挖矿木马以及大灰狼远控木马。

SnakeMiner挖矿木马最早在2019年被国内安全厂商披露。其主要针对SQL服务器进行弱口令爆破，爆破成功后通过漏洞获取SYSTEM权限，随后植入木马。此次我们捕获到SnakeMiner最新版本，经分析其新增以下几点功能：

1. 利用ReflectivePEInjection进行漏洞利用工具注入 2. 更新漏洞利用，此次Potato系列漏洞—PrintSpoofer 3. 通过订阅WMI事件来持久化驻留远控木马

技术分析

Win10.ps1 1) 采用PowerSploit模块中的Invoke-ReflectivePEInjection在内存中加载ms20.exe。 2) 请求CC下载HttpA.exe至本地Temp目录下。

ms20.exe—PrintSpoofer提权漏洞 该漏洞的核心原理是利用Spooler服务，使其通过SYSTEM身份连接命名管道，并发起身份认证协议（NTML）。随后通过NTMLRely获取SystemToken。 最后具有SeImpersonatePrivilege权限的攻击者调用CreateProcessAsUser（SystemToken）以System权限启动Powershell.exe与HttpA.exe。 通过PowerShell通过修改MpPreference关闭WindowsDefender的实时保护，并将C:/Windows目录添加至信任区。 通过HttpA.exe释放挖矿木马以及大灰狼远控木马。

HttpA.exe HttpA才会后续释放流程。 验证成功后，主要会进行以下几项操作： 1) WMI事件订阅释放远控。 2) 释放Win_Help.dll并通过Netsh.exe调用。 3) 木马放置到注册表项中。 4) 为部分系统进程（Windows辅助程序）提权。

WMI事件订阅释放远控 WMI的命令是以加密的形式存储在母体木马文件中，木马执行时将其解密在创建WMI进程去执行命令。 要执行的WMI事件如下： 通过WMI事件订阅定时执行powershell脚本，该脚本base64经解码后内容如下： Pow.ps1经分析，得知其通过Invoke-ReflectivePEInjection将远控木马加载到内存中去。

释放Win_Help.dll并通过Netsh.exe调用 Win_Help.dll被释放到System32路径下，并将其文件路径存储到注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh中。 通过C:\Windows\system32\netsh.exe-h命令，可将Win_Help.dll加载到netsh的进程空间中。

木马放置到注册表项 母体在注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC添加键值RUNDLL,RUN_DLL，并将其木马的PEBytes存入。 RUN_DLL—大灰狼远控木马 RUNDLL—门罗币挖矿木马的母体

部分系统进程提权 给Windows辅助程序的五个进程添加权限 主要提升如下权限：SeRestorePrivilege，SeBackupPrivilege，SeSecurityPrivilege，SeTakeOwnershipPrivilege。 添加成功后，将文件的访问控制权限修改为EveryOne,目的是实现沾滞键实现持久化，后续木马可能通过这些进程驻留后门。

Win_Help.dll Win_Help的作用就是注入木马，通过傀儡进程注入将木马分别注入到两个Svchost进程中。

Rpces.exe Rpces.exe存于RUNDLL注册表项中,负责投递挖矿木马。 通过检查互斥体”Global\Google__”避免重复投递木马。 创建服务“NetSh_Fix”，负责持久化驻留。 最后请求CC下载挖矿木马及其钱包配置信息文件。 其文件路径及钱包信息如下

远控木马 校验尾部字符串：SSSSSSVID:2013-SV1（特征） 获取硬件信息 远控模块将被释放到C:\Windows\MpMgSvc.dll，调用其导出函数并通过连接C2,根据不同的指令执行对应的操作包括检索服务信息，设置服务，获取会话，用户信息，关闭指定进程，断开注销会话等操作。 CC通信地址：ssh.330com.com

溯源 在分析样本过程中，发现其母体样本中包含“blackmoon”的字符串。因此笔者猜测此挖矿木马也可能出自blackmoon僵尸网络家族。

建议查杀 1. 若数据库必须放在公网上，应做好防火墙访问策略以及身份认证策略，以防止攻击者恶意爆破数据库密码 2. 及时更新系统补丁，阻断Nday漏洞利用 3. 免费部署360企业安全云，主动管理数据库弱口令和拦截弱口令爆破

IOC 01

MD5 dcdcc0aad518d1a5b2e9a4632a0f3b19 ae23397869f2fa06b2a1d638c9d4cdba f65d165845d62ff3d6252ef8a16905d9 328efb187a040b360a9746a0d98dc415 fee800721bd4e33e8d62750fd05494ff d51cd5b721ef945372e9a075ab4090d0 f759513be89f9306f4d4cf3e0319ecae

02 URL http://211.108.74.249:81/32.jpg http://211.108.74.249:81/64.jpg http://211.108.74.249:81/Args.txt

03 Domain down.23ssh.com ssh.330com.com

04 IP 211.108.74.249 220.86.85.75

责任编辑：

热点：挖矿 数据