原标题：新版SnakeMiner挖矿木马卷土重来，谨防数据库密码被恶意爆破

近期，360安全大脑捕获到SnakeMiner挖矿木马的最新版本，此版本新增PrintSpoofer提权工具，通过漏洞成功提权后会在用户电脑上植入挖矿木马以及大灰狼远控木马。

SnakeMiner挖矿木马最早在2019年被国内安全厂商披露，其主要针对SQL服务器进行弱口令爆破，爆破成功后在通过漏洞获取SYSTEM权限，随后植入木马。此次我们捕获到SnakeMiner最新版本，经分析其新增以下几点功能：

1. 利用ReflectivePEInjection进行漏洞利用工具注入

2. 更新漏洞利用，此次Potato系列漏洞—PrintSpoofer

3. 通过订阅WMI事件来持久化驻留远控木马

技术分析

Win10.ps1

1) 采用Power Sploit模块中的Invoke-ReflectivePEInjection在内存中加载ms20.exe。

2) 请求C C下载HttpA.exe至本地Temp目录下。

ms20.exe — PrintSpoofer提权漏洞

该漏洞的核心原理是利用Spooler服务，使其通过SYSTEM身份连接命名管道，并发起身份认证协议（NTML），随后通过NTML Rely获取SystemToken。

最后具有SeImpersonatePrivilege权限的攻击者调用CreateProcessAsUser（SystemToken）以System权限启动Powershell.exe与HttpA.exe。

通过PowerShell通过修改MpPreference 关闭Windows Defender的实时保护，并将C:/Windows目录添加至信任区。

通过HttpA.exe释放挖矿木马以及大灰狼远控木马。

HttpA.exe

HttpA作为母体首先确保当前进程拥有System权限，才会后续释放流程。

验证成功后，主要会进行以下几项操作：

1) WMI事件订阅释放远控。

2) 释放Win_Help.dll并通过Netsh.exe调用。

3) 木马放置到注册表项中。

4) 为部分系统进程（Windows辅助程序）提权。

WMI事件订阅释放远控

WMI的命令是以加密的形式存储在母体木马文件中，木马执行时将其解密在创建WMI进程去执行命令。

要执行的WMI事件如下：

通过WMI事件订阅定时执行powershell脚本，该脚本base64经解码后内容如下：

Pow.ps1经分析，得知其通过Invoke-ReflectivePEInjection将远控木马加载到内存中去。

释放Win_Help.dll并通过Netsh.exe调用

Win_Help.dll被释放到System32路径下，并将其文件路径存储到注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh中。

通过C:\Windows\system32\netsh.exe -h命令，可将Win_Help.dll加载到netsh的进程空间中。

木马放置到注册表项

母体在注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC添加键值RUNDLL,RUN_DLL，并将其木马的PE Bytes存入。

RUN_DLL—大灰狼远控木马

RUNDLL—门罗币挖矿木马的母体

部分系统进程提权

给Windows辅助程序的五个进程添加权限

主要提升如下权限：SeRestorePrivilege，SeBackupPrivilege，SeSecurityPrivilege，SeTakeOwnershipPrivilege。

添加成功后，将文件的访问控制权限修改为EveryOne,目的是实现沾滞键实现持久化，后续木马可能通过这些进程驻留后门。

Win_Help.dll

Win_Help的作用就是注入木马，通过傀儡进程注入将木马分别注入到两个Svchost进程中。

Rpces.exe

Rpces.exe存于RUNDLL注册表项中,负责投递挖矿木马。

通过检查互斥体”Global\Google__”避免重复投递木马。

创建服务“NetSh_Fix”，负责持久化驻留。

最后请求C C下载挖矿木马及其钱包配置信息文件。

其文件路径及钱包信息如下

远控木马

校验尾部字符串：SSSSSSVID:2013-SV1 （特征）

获取硬件信息

远控模块将被释放到C:\Windows\MpMgSvc.dll，调用其导出函数并通过连接C2,根据不同的指令执行对应的操作包括检索服务信息，设置服务，获取会话，用户信息，关闭指定进程，断开注销会话等操作。

C C通信地址：ssh.330com.com

溯源

在分析样本过程中，发现其母体样本中包含“blackmoon”的字符串。因此笔者猜测此挖矿木马也可能出自blackmoon僵尸网络家族。

建议查杀

1.若数据库必须放在公网上，应做好防火墙访问策略以及身份认证 策略，以防止攻击者恶意爆破数据库密码

2.及时更新系统补丁，阻断N day漏洞利用

3.免费部署360企业安全云，主动管理数据库弱口令和拦截弱口令爆破

IOC

01

MD5

dcdcc0aad518d1a5b2e9a4632a0f3b19

ae23397869f2fa06b2a1d638c9d4cdba

f65d165845d62ff3d6252ef8a16905d9

328efb187a040b360a9746a0d98dc415

fee800721bd4e33e8d62750fd05494ff

d51cd5b721ef945372e9a075ab4090d0

f759513be89f9306f4d4cf3e0319ecae

02

URL

http://211.108.74.249:81/32.jpg

http://211.108.74.249:81/64.jpg

http://211.108.74.249:81/Args.txt

03

Domain

down.23ssh.com

ssh.330com.com

04

IP

211.108.74.249

220.86.85.75

责任编辑：