永恒之蓝漏洞挖矿的简单总结

压缩包MsraReportDataCache32.tlb含有所需要的所有攻击组件，其目录下有hash、spoolsv、srv等病毒文件，此外，子压缩包crypt有“永恒之蓝”漏洞攻击工具集（svchost.exe、spoolsv.exe、x86.dll、x64.dll等）。

其中

hash/hash64：为32位/64位挖矿程序，会被重命名为TrueServiceHost.exe。

spoolsv/spoolsv64：为32位/64位攻击母体，会被重命名为spoolsv.exe。

srv/srv64：为32位/64位为主服务，攻击入口点，会被重命名为tpmagentservice.dll。

本文所述病毒文件，释放在下列文件目录中

C:\Windows\System32\MsraReportDataCache32.tlb

C:\Windows\SecureBootThemes\

C:\Windows\SecureBootThemes\Microsoft\

C:\Windows\SecureBootThemes\Crypt\

攻击顺序：

1.srv是主服务，每次都能开机启动，启动后加载spoolsv。

2.spoolsv对局域网进行445端口扫描，确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程序svchost.exe和spoolsv.exe。

3.svchost.exe执行“永恒之蓝”漏洞溢出攻击（目的IP由第2步确认），成功后spoolsv.exe(NSA黑客工具包DoublePulsar后门）安装后门，加载payload（x86.dll、x64.dll）。

4.payload（x86.dll、x64.dll）执行后，负责将MsraReportDataCache32.tlb从本地复制到目的IP主机，再解压该文件，注册srv主服务，启动spoolsv执行攻击（每感染一台，都重复步骤1、2、3、4）。

主控程序spoolsv/spoolsv会被重命名为spoolsv.exe,其运行后会获得自身主机HOST，然后对局域网内的主机进行扫描。通过获得的IP表，扫描局域网内开放的445端口号，如果发现局域网内开放的445端口，就会将相应的IP地址和端口号写入到EternalBlue攻击程序svchost.exe的配置文件svchost.xml