计算机挖矿病毒是如何通过PowerShell脚本作为载体传播的

引言

近期，金山毒霸安全实验室发现一种新型采矿病毒，它巧妙地借助PowerShell脚本进行传播，此病毒通过多级脚本执行攻击步骤，并利用"永恒之蓝"(EternalBlue)漏洞与WMIExec渗透工具进行自我复制，所有恶意负载均被嵌入至WMI中，以实现无文件持久化。

正文

母体脚本

我们截获的样本是一个单一的BAT脚本，主要功能是下载并执行PowerShell网络脚本，如果WMI命名空间内未发现特定脚本，它会从远程服务器下载执行。

病毒下载服务器

- info.vbs：携带采矿程序的VBS脚本，将自身写入WMI。

- info3.ps1：针对x86平台的挖矿攻击脚本。

- info6.ps1：针对x64平台的挖矿攻击脚本。

攻击示例

info6.ps1主脚本

混淆处理

info6.ps1是一个高度混淆的PowerShell脚本，仅含两条指令，却高达3.9MB，经过两次混淆和解析，我们发现了其实质内容。

执行过程

1、初始化数据：通过解码变量$fa，获取base64编码的数据，用于后续WMI存储。

2、判断体系结构：适应x64和x86系统，核心逻辑与info6.ps1相同。

3、解密代码：包含WMIExec和MS17-010攻击组件，以及辅助函数。

4、释放DLL：为挖矿程序准备所需文件。

5、清理其他WMI项。

6、创建自定义WMI：设置定期执行的事件过滤器，通过Base64编码执行PowerShell脚本。

7、完成初始化，启动挖矿。

8、攻击与传播：利用WMIExec和MS17-010漏洞进行横向感染。

模块分析

- WMIExec：基于Invoke-TheHash项目，使用.NET TCPClient和NTLM身份验证进行无需管理员权限的远程执行。

- MS17-010：尽管老旧，仍具有RCE能力，作者引入了扫描和exploit模块，通过C#编译器动态生成执行命令。

检测与清除

1、及时更新操作系统补丁，尤其是修复MS17-010漏洞。

2、使用以下PowerShell脚本进行检测（务必谨慎操作）：

Detection script goes here

3、金山毒霸可有效查杀此病毒。

1、该病毒大量使用开源代码，降低制作门槛，体现了当前非PE攻击的趋势。

2、非PE攻击日益激烈，特别是以PowerShell为媒介的攻击正在兴起，传统“白名单”防护面临挑战。

3、至本文撰写时，该病毒已开采约13枚门罗币，价值超过6000元人民币。

附注：

Python挖矿库示例：

- 使用pip安装.whl格式库：pip install package_name.whl

- 使用easy_install安装.egg格式库：easy_install package_name.egg

- 从源代码安装：python setup.py install

- Windows还支持.exe安装包。