一、概述
腾讯御见威胁情报中心近期检测到利用ZombieboyTools传播的挖矿木马家族最新活动。木马对公开的黑客工具ZombieboyTools进行修改，然后将其中的NSA攻击模块进行打包利用，对公网以及内网IP进行攻击，并在中招机器执行Payload文件x86/x64.dll，进一步植入挖矿、RAT（远程访问控制）木马。

漏洞扫描攻击工具ZombieboyTools 
腾讯御见威胁情报中心在2017年12月已有披露Zombieboy木马情报，而后的2018年5月及7月友商也发布了相关情报。在本报告中首先对黑客于2018.08.14注册并使用的C2域名fq520000.com及其样本进行分析，然后通过对比Zombieboy木马在几轮攻击中的攻击手法、恶意代码特征、C2域名及IP、端口特征的一致性，推测得出攻击来源属于同一团伙，并将其命名为ZombieboyMiner（僵尸男孩矿工）团伙。
腾讯御见威胁情报中心监测发现，ZombieboyMiner（僵尸男孩矿工）木马出现近一年来，已感染7万台电脑，监测数据表明该病毒非常活跃。

病毒感染趋势
在全国各地均有中毒电脑分布，广东、江苏、浙江位居前三。 

影响区域分布

腾讯安图高级威胁追溯系统查询团伙信息） 
二、详细分析

ZombieboyMiner攻击流程
Las.exe分析
运行后释放端口扫描工具，NSA利用攻击工具，以及payload程序到C:
\windows\IIS目录下。然后利用端口扫描工具，扫描局域网中开放445端口的机器，再利用NSA工具将payload（x86.dll或x64.dll）注入局域网内尚未修复MS17-010漏洞的机器。

样本释放文件 

445端口扫描批处理文件

EternalBlue配置文件 

Doublepulsar配置文件 
payload分析
payload（x86.dll或x64.dll）从C2地址ca.fq520000.com下载123.exe并在本地以名称sys.exe执行。

payload行为
sys.exe分析
sys.exe下载sm.fq520000.com:443:/1并以文件名las.exe执行：

sys.exe行为 
同时从sm.fq520000.com:443:/A.TXT获取URL地址，使用该地址下载RAT（远程访问控制木马）并以文件名84.exe执行（目前1.exe，4~9.exe任可下载）。

A.TXT内容 
CPUInfo.exe分析
CPUInfo.exe白利用WINDOWS系统程序Srvany.exe来进行启动，然后作为主程序负责拉起攻击进程以及挖矿进程。


白利用Srvany.exe启动
svsohst.exe分析
svsohst.ex负责启动门罗币挖矿程序crss.exe，启动矿机前设置矿池地址ad0.fq520000.com以及钱包
44FaSvDWdKAB2R3n1XUZnjavNWwXEvyixVP8FhmccbNC6TGuCs4R937YWuoewbbSmMEsEJuYzqUwucVHhW73DwXo4ttSdNS作为挖矿参数，然后通过ShellExecute启动挖矿进程。