Bluehero挖矿蠕虫变种空降！

    近日，深信服安全团队捕获到Bluehero挖矿蠕虫最新变种，该挖矿蠕虫集多种功能为一体，释放后门程序窃取主机信息，释放Mimikatz模块、嗅探模块、“永恒之蓝”攻击模块、LNK漏洞利用模块（CVE-2017-8464）进行传播和反复感染，最终释放挖矿模块进行挖矿。

    通过威胁情报查询，Bluehero挖矿蠕虫最新变种两个关键文件的创建时间均为6月3号，可以确认近期刚开始进行活动，并且有扩大感染面的趋势。深信服安全团队在第一时间捕获到该变种进行分析：

Bluehero挖矿蠕虫变种运行流程如下：

创建C:WebKitsSDK2.7.92目录：

释放并运行后门程序，该后门程序的文件名为随机字符：

通过链接http://fid.hognoob.se/SunloglicySrv.exe下载SunloglicySrv.exe到C:WebKitsSDK2.7.92并运行：

从C2服务器下载相应的配置文件cfg.ini，如下所示：

相应的C2服务器URL地址：

http://uio.hognoob.se:63145/cfg.ini

http://uio.heroherohero.info:63145/cfg.ini

下载回来的配置文件中包含挖矿流量的矿池地址：

pxi.hognoob.se:35791

pxx.hognoob.se:35789

下载模块的URL地址：

http://fid.hognoob.se/download.exe

自复制到C:Windowssystem32目录下，名字为随机字符：

将复制体注册为服务，服务名为Abfdef：

通过服务启动，连接C&C端q1a.hognoob.se的1889端口，发送主机信息：

自复制到windows目录，以随机字符命名：

通过命令行重新启动：

释放Mimikatz模块，用于抓取域用户密码：

释放嗅探模块，扫描指定IP段：

设置ipsec规则，过滤掉相关的协议流量：

关闭主机防火墙、网络共享、杀毒软件等，如下所示：

创建相应的计划任务，如下所示：

释放“永恒之蓝”攻击模块，进行内网横向传播：

释放LNK漏洞利用模块：

利用LNK漏洞（CVE-2017-8464）下载最开始的download.exe模块，加速传播：

C:WindowsTemp目录下释放挖矿模块，并运行挖矿程序：

挖矿流量如下：

q1a.hognoob.se

http://fid.hognoob.se/download.exe

http://uio.hognoob.se:63145/cfg.ini

http://uio.heroherohero.info:63145/cfg.ini

http://fid.hognoob.se/SunloglicySrv.exe

0FE77BC5E76660AD45379204AA4D013C（download.exe）

7B6308828105E080D7F238BB14D28874（SunloglicySrv.exe）

1、深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力，部署相关产品用户可进行病毒检测，如图所示：

2、深信服为广大用户免费提供查杀工具，可下载如下工具，进行检测查杀。

3、更新MS17-010补丁以及CVE-2017-8464漏洞补丁。

4、使用深信服安全产品，接入安全云脑，使用云查服务可以即时检测防御新威胁。