一、概述
MyKings僵尸网络2017年2月左右出现的大型僵尸网络,通过扫描互联网上1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy、RAT(远程控制木马)、Miner(挖矿木马)在内的多种不同用途的恶意代码。
2018年5月份,腾讯安全御见威胁情报中心监测到MyKings僵尸网络开始传播新型挖矿木马,木马利用NSIS的插件和脚本功能实现挖矿木马的执行、更新和写入启动项,同时还具备通过SMB爆破进行局域网传播的能力,御见威胁情报中心将其命名为NSISMiner。
2018年10月,新增钱包地址劫持模块buff2.exe,检测剪切板内容中的比特币、门罗币、以太坊等25种数字加密货币钱包地址、和电子支付系统(WebMoney、YandexMoney、stream)相关卡号,并将其替换为黑客的钱包地址和卡号,盗取收益。这一特性对比特币矿工及炒币玩家危害极大,因为敲击键盘输入一长串地址,很难保证不出错,复制剪贴是最常用的操作。
最近,腾讯安全御见威胁情报中心监测发现,MyKings僵尸网络已启用新域名传播NSISMiner挖矿木马,该挖矿木马传播量有明显上升。Mykings僵尸网络也启用了新的矿池和钱包地址,新钱包已收益18个XMR(门罗币,折合人民币5600元)。
NSISMiner挖矿木马近期传播趋势明显上升
Mykings僵尸网络团伙家谱
二、详细分析
NSISMiner本次升级特点:
1、启用新的域名,同时更换了文件名,文件功能及触发流程没有明显变化。
2、更新了矿池及钱包信息,从旧的nanopool矿池迁移到supportxmr
新增一个钱包地址
从nanpopool矿池结算信息看,该木马在去年11月份停用这个矿池,当时总收益为363.40XMR。
新矿池supportxmr启用后,目前已经挖了18个XMR(门罗币)。
3、更新了劫持剪切板功能,盗取数字加密货币、WebMoney、YandexMoney、stream充值信息等、木马添加计划任务,每隔1小时启动一次,通过正则表达式匹配剪切板内容,匹配比特币、门罗币、以太坊等25种数字加密货币钱包地址。
用于转账的黑客钱包被加密存储在PE中,且每次获取剪切板数据后才会动态解密一次,解密算法是把密文-1
命中钱包地址则替换为黑客的钱包地址。
部分黑客钱包地址,大部分钱包余额为0。
黑客的BTC账户已经收到0.39枚,按现在价格价值约1万RMB
同时木马会劫持5种WebMoney(WM)币种
WebMoney是1998年WebMoney TransferTechology公司开发的一种在线电子商务支付系统
木马内部也使用了正则去匹配这些WebMoney币种
木马也会劫持YandexMoney钱包,YandexMoney是俄罗斯Yandex旗下的电子支付工具,第二大支付公司,提供了虚拟信用卡功能,正则匹配Yandex虚拟卡号并替换为黑客的卡号。
该版本木马保留了局域网爆破功能,利用arp -a 和 net view获取局域网主机信息,再使用net use进行帐号密码猜解,成功后,将自身复制到可远程访问和自启动位置,从而在局域网中传播木马。
三、安全建议
MyKings僵尸网络此次传播的恶意代码在挖矿的同时进行SMB爆破,使得其内网扩散威力进一步增强,影响范围较广,对企业用户危害严重,腾讯御见威胁情报中心提醒用户注意以下几点:
1. 关闭不必要的端口,方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html;
2. 建议局域网用户切勿使用弱口令,防止病毒通过SMB暴力破解在局域网内主动扩散;
3. 推荐企业用户使用御点终端安全管理系统保护电脑安全(下载地址:https://s.tencent.com/product/yd/index.html)
4. 推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)
5. 中毒电脑除可使用腾讯电脑管家、腾讯御点终端防御系统查杀病毒,也可参考以下提示手动清理:
删除文件
C:\Users\***\AppData\Roaming\TempoR\DOC001.exe
C:\Users\***\AppData\Roaming\TempoR\NsCpuCNMiner32.exe
C:\Users\***\AppData\Roaming\TempoR\NsCpuCNMiner64.exe
C:\Users\***\AppData\Roaming\Tempo\DOC001.exe
C:\Users\***\AppData\Roaming\Tempo\NsCpuCNMiner32.exe
C:\Users\***\AppData\Roaming\Tempo\NsCpuCNMiner64.exe
C:\ProgramData\[GUID]\lsm.exe
C:\Users\***\Appdata\Roaming\adobe\x64e\amd\dether.exe
C:\Users\***\AppData\Roaming\dhelper.exe
C:\Users\***\AppData\Roaming\cppredistx86.exe
C:\Windows\Temp\doc.exe
C:\Windows\Temp\name.exe
C:\Windows\Temp\name2.exe
C:\Windows\Temp\java.exe
C:\Windows\Temp\java13.exe
C:\Windows\Temp\dhelper.exe
C:\Windows\Temp\docv8k.exe
C:\Windows\Temp\buff2.exe
删除注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
(启动文件:C:\Users\***\AppData\Roaming\dhelper.exe)
删除开始菜单启动项explorer.lnk
(启动文件C:\Users\***\AppData\Roaming\TempoR\DOC001.exe)
删除计划任务Microsoft LocalManager
(启动文件:C:\ProgramData\[GUID]\lsm.exe)
IOCs
钱包地址:
虚拟币 | 钱包地址 |
---|---|
XMR | 41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNfiCW7xghhbKZV6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2 |
XMR | 448FWFsUhMdhhnGo3Yw7N547dg2XyLPXEWvMZEC4yCVMYLxBAZbLzVwLvSAZJKsWYgLCm4cB2q8Vjg1YwKkcDUYyAGgQmuR |
BTC | 12cZKjNqqxcFovghD5N7fgPNMLFZeLZc3u |
BlackCoin | JDi6PaWXd3yQ167tqShDxZcLEx3aRRSii |
EmerCoin | EVRzjX4wpeb9Ys6i1LFcZyTkEQvV9Eo2Wk |
ReddCoin | QrKfx3qsqaMQUVHx8yAd1aTHHRdjP6Tg |
Bytecoin | 12cZKjNqqxcFovghD5N7fgPNMLFZeLZc3u |
Bitcoincash | qrfdnklvpgmh94dycdsp68qd6nf9fk8vlsr24n2mcp |
Ripple | rNoeET6PH5dkf1VVvuUc2eZYap9yDZiKTm |
Dogecoin | D6nziu2uAoiWvdjRYRPH7kedgzh56Xkjjv |
Dash | Xup4gBGLZLDi9J9VbcLuRHGKDXaUjwMoZV |
Ethereum | 0x039fd537a61e4a7f28e43740fe29ac84443366f6 |
LiteCoin | LUfdGb4pCzTAq9wucRpZZgCF69QHpAgvfE |
Zicash | t1JjREG9k58srT42KitRp3GyMBm2x4B889o |
Neo | AKY1itrWtsmziQhg2THDcR3oJhXsVLRxM7 |
Electroneum | 0x6a1A2C1081310a237Cd328B5d7e702CB80Bd2078 |
Miota | SVEBXIOJELVYBRULCLMQUYFHCPNJ9TWRDMFWMEDBEOQRO9MBO9VXMXYEBV9NUVFGGQDRDFUSKOQHOYFBWGXDKTGSDB |
Cardano | DdzFFzCqrht9wkicvUx4Hc4W9gjCbx1sjsWAie5zLHo2K2R42y2zvA7W9S9dM9bCHE7xtpNriy1EpE5xwv7mPuSjhP4FyB9Z1ra6Ge3y |
Lisk | 7117094708328086084L |
Stratis | SPLfNnmUdqmYu1FH2qMcGiU7P8Mwf9Z3Kr |
Waves | 3PAFMSCjWpf5WDxkkECMmwqkZGHySgpuzEo |
Qtum | QNkbMtCmWSCFS1U63PcAxhKufLvEwSsJ8t |
Stellar | GBJOA4BNCXBSYG3ZVU2GXNOOA2JJLCG4JIVNEINHQIZNVMX4SSH5LLK7 |
ViaCoin | VhGTEsM6ewqNBJwDEB2o6bHvRqFdGqu5HM |
Graft | G4qyAXyftgpRW4idTMWA7e7QnSN6DKUeGcbcqAQra3c46JRuYdzTRxwVAGYRCK9U5WLncok7Loni73sm1TaWhbQ1DnAJKx5 |
Domain
f321y.com
js.oo000oo.club
js.mykings.pw
rucop.ru
kriso.ru
url:
hxxp://f321y.com:8888/name2.rar
hxxp://f321y.com:8888/dhelper.dat
hxxp://f321y.com:8888/buff2.dat
hxxp://f321y.com:8888/docv8k.dat
hxxp://f321y.com:8888/v.dat
hxxp://js.mys2016.info:280/v.sct
hxxp://js.oo000oo.club:280/v.sct
hxxp://js.mykings.pw:280/v.sct
hxxp://rucop.ru/java.dat
hxxp://rucop.ru/java1.dat
hxxp://rucop.ru/tess8.html
hxxp://kriso.ru/java13.dat
hxxp://kriso.ru/tess8.html
hxxp://kriso.ru/java12.dat
MD5:
0eac66bb3defaa36ec657e90218a442b
14ec03d49a0457377cd2b4f3a707d6eb
4df2172328f6e20b363351323053e66b
54fd6a7dfa99dd30de2c4bd29de00eaa
72ab701a0c7edf6a4bd655637cf12561
9da6968a32db144b6b44211c14987b8f
c464c22ed4c9216c9d03c3df0fcc2a8f
c475245414cb4e1a7368269eb239a8c1
c5535409ed97cb0c483cd7c31cdf973d
c720ac483a5752c2b69945a8ad673162
d41d8cd98f00b204e9800998ecf8427e
df11b3105df8d7c70e7b501e210e3cc3
e6c0bbd63d7a40f9548aa4cf00f04ae7
f5d948692cc754502f3cba649d60ba00
参考链接
MyKings僵尸网络的新动向:利用NSIS脚本挖门罗币
https://s.tencent.com/research/report/483.html
矿池
pool.supportxmr.com:5555
pool.supportxmr.com:3333