一、背景
腾讯安全威胁情报中心检测到针对Windows服务器进行攻击的挖矿木马BasedMiner。该挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击，爆破成功后会下载Gh0st远控木马对系统进行控制，还会利用多个Windows漏洞进行提权攻击获得系统最高权限，植入门罗币挖矿木马进行挖矿，目前已获利8000元。

因其远控模块名为based.dll，腾讯安全中心将其命名为BasedMiner。BasedMiner入侵后在企业服务器植入远控木马，可能导致受害企业机密信息泄露，挖矿时严重消耗服务器资源，会影响正常业务运行。腾讯安全专家建议企业检查纠正使用弱口令登录服务器，修复服务器存在的安全漏洞，避免挖矿团伙入侵。

腾讯安全系列产品应对BasedMiner挖矿木马的响应清单如下，建议企业网管参考检查：



更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/

二、样本分析
攻击团伙对MS SQL服务器爆破成功后，会通过shellcode直接下载挖矿模块lsass.txt、提权攻击模块8639.exe、New.exe以及远控模块Test.txt。

远控模块Test.txt被保存至C:\ProgramData\svchost.exe并执行，从资源文件中获取二进制数据“0X64”,写入文件C:\Program Files (x86)\Common Files\based.dll并加载到内存执行。

将based.dll写入注册表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WcCemsvc_connection\Parameters，安装为服务” WcCemsvc_connection”进行启动。

该DLL为Gh0st远控木马模块，导出函数ServiceMain，首次加载时传入参数“install”进行安装，通过服务启动之后连接C2地址www[.]bjcptj.com:19966，执行各类远控命令。

8639.exe是Windows提权漏洞CVE-2018-8639利用程序，文件属性伪装成搜狗输入法安装程序（注意文件属于并无搜狗公司的数字签名，一看就知道这是伪造的）。

漏洞攻击程序作者为ze0r（https[:]//github.com/ze0r/CVE-2018-8639-exp）

New.exe是Windows提权漏洞CVE-2017-0213利用程序。

lsass.txt是开源挖矿程序XMRig编译生成的挖矿木马，挖矿配置文件保存在资源文件“PEIZ”中，挖矿使用矿池pool.supportxmr.com:3333，门罗币钱包：
43TosPcYFbmi7GuQSQZhXHP5XhZ8K2w77XtvnP5m5pMGQGCmhgeq3ZTcBgrm62NZfzgG19fj5nEEZXoypbHHnm6SRJsLpKw

BasedMiner目前已挖矿获得17XMR，折合人民币8000元。

IOCs
Doamin
www[.]bjcptj.com

IP
221.212.96.254

Md5

URL
http[:]//221.212.96.254:14563/8639.exe
http[:]//221.212.96.254:14563/tu.exe
http[:]//221.212.96.254:14563/ju.exe
http[:]//221.212.96.254:14563/new.exe
http[:]//221.212.96.254:14563/lsass.txt
http[:]//221.212.96.254:14563/Test.txt
http[:]//bjcptj.com/ju.exe
http[:]//bjcptj.com:3215/8639.exe
http[:]//bjcptj.com:3215/tu.exe

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课