近一段时间，千里目安全实验室EDR安全团队持续收到大量企业用户反馈，其内网很多服务器存在卡顿和外联异常IP等现象。经过我们深入挖掘，发现这是利用WMI+Powershell方式实现的无文件攻击行为，其目的是长驻内存挖矿。由于此攻击没有本地落地文件，难以察觉，企业利益默默受到侵害。

此流行病毒，除了具备无文件攻击等高级攻击特性，还内置两种横向传染机制，分别为Mimikatz+WMIExec自动化爆破和MS17-010“永恒之蓝”漏洞攻击，堪称火力全开，极易在局域网内迅猛扩散。

0x01 攻击场景

此次攻击，具备无文件攻击特性，所有模块功能均加载到内存中执行，没有本地落地文件。为了迅速在内网传播，采用了SMB弱口令爆破攻击和“永恒之蓝”漏洞攻击，二者只要有一种能成功，就可以横向感染到其它主机。

如上图，原始病毒体为info*.ps1（64位系统对应info6.ps1，32位系统对应info3.ps1）,其为Powershell脚本，被加载后内存存在4个模块，分别为挖矿模块、Minikatz模块、WMIExec模块、MS17-010攻击模块。
攻击顺序如下：
1.首先，挖矿模块启动，持续进行挖矿。
2.其次，Minikatz模块对目的主机进行SMB爆破，获取NTLMv2数据。
3.然后，WMIExec使用NTLMv2绕过哈希认证，进行远程执行操作，攻击成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来，流程结束。
4.最后，如WMIExec攻击失败，则尝试使用MS17-010“永恒之蓝”漏洞攻击，攻击成功则执行shellcode使病原体再复制一份到目的主机并使之运行起来（每感染一台，重复1、2、3、4）。

此病毒采用的是WMI+Powershell的内存驻留方式，模块以服务形式存在，每5600秒可自动触发一次。