freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    Mykings僵尸网络更新基础设施,大量使用PowerShell脚本进行“无文件”攻击挖矿
    2020-05-13 11:00:14
    所属地 广东省

    一、概述

    MyKings僵尸网络2017 年 2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。

           Mykings僵尸网络的主要更新点:

    1.    新增IP、域名、URL;

    2.    大量采用POWERSHELL脚本进行“无文件”落地攻击;

    3.    在清理竞争对手挖矿木马名单中增加了“新冠”挖矿木马;

    4.    使用挖矿账号登陆,隐藏了钱包地址;

    5.    新增白利用文件;

    6.    不同系统版本执行脚本不同;

    7.    获取windows登陆密码。 

    攻击流程:

    1.png


    二、解决方案

    运维人员可参考以下方法手动清除Windows系统感染的挖矿木马,企业用户亦可使用腾讯T-Sec终端安全管理系统(腾讯御点)查杀病毒,参考安全建议提升服务器的安全性。

     

    删除以下病毒文件

    C:\Windows\debug\lsmose.exe

    C:\Windows\debug\lsmos.exe

    C:\Windows\debug\lsmo.exe

    C:\Program Files (x86)\CommonFiles\csrw.exe

    C:\Progra~1\Common Files\csrw.exe

    c:\windows\help\lsmosee.exe

    c:\windows\help\akpls.exe

    c:\windows\inf\lsmma.exe

    c:\windows\inf\lsmm.exe

    c:\windows\inf\lsmmaa.exe

    c:\windows\system32\new.exe

    c:\windows\system32\upsupx.exe

    c:\windows\inf\aspnet\lsma.exe

    c:\windows\inf\aspnet\lsmab.exe

    c:\windows\inf\aspnet\lsmaaa.exe

    c:\windows\inf\aspnet\lsma30.exe

    c:\windows\inf\aspnet\lsma31.exe

    c:\\windows\java\java.exe

    c:\windows\inf\aspnet\lsma12.exe

    c:\windows\debug\ok.dat

    c:\windows\debug\item.dat

    c:\windows\update.exe

    c:\windows\temp\servtestdos.dll

    C:\WINDOWS\Fonts\cd

    c:\windows\help\get.exe

    c:\windows\inf\aspnet\u.exe

    c:\windows\inf\winnts.exe

    c:\windows\temp\svchost.exe

    c:\windows\temp\conhost1.exe

     

    删除病毒添加的计划任务

    Mysa

    Mysa1

    Mysa2

    Mysa3

    ok

    oka

     

    删除病毒添加的WMI事件启动项

    fuckyoumm2_filter

    fuckyoumm2_consumer

    Windows Events Filter

    Windows Events Consumer4

    Windows Events Consumer

    fuckayoumm3

    fuckayoumm4

     

    安全建议

    1.    Mysql端口非必要情况不要暴露在公网,使用足够强壮的Mysql口令;

    2.    修复MS010-17 “永恒之蓝”漏洞,服务器暂时关闭不必要的端口(如135、139、445)。

     

    推荐政府机构、大中型企业、科研单位采用腾讯安全完整解决方案全面提升信息系统的安全性。

    2.png 腾讯安全解决方案部署示意图(图片可放大)

     

    政企用户可根据业务应用场景部署适当的安全产品,并根据腾讯安全威胁情报中心提供的情报数据配置各节点联防联动、统一协调管理,提升整体网络抗攻击能力。

    腾讯安全系列产品应对Mykings僵尸网络攻击的响应清单如下:

    应用场景 安全产品 解决方案
    腾讯T-Sec 威胁情报云查服务 (SaaS) 1)mykings,mirai,暗云Ⅲ木马相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
    腾讯T-Sec 高级威胁追溯系统 1)mykings,mirai,暗云Ⅲ络黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts
    云原生 安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用“永恒之蓝”协议执行漏洞相关联的IOCs已支持识别检测; 有关云防火墙的更多信息,可参考:
     https://cloud.tencent.com/product/cfw
    腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持查杀IOCs列举的病毒木马  腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp
    腾讯T-Sec 网络资产风险监测系统 (腾讯御知) 1)腾讯御知是否已支持监测全网资产是否受mysql弱密码,“永恒之蓝”漏洞,RDP弱密码影响。  关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html
    腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html
    非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用“永恒之蓝”SMB协议漏洞相关联的IOCs已支持识别检测;
    2)对利用mysql,rdp爆破入侵的相关协议特征进行识别检测;
    关于T-Sec高级威胁检测系统的更多信息,可参考:https://cloud.tencent.com/product/nta
    腾讯T-Sec终端安全管理系统(御点) 1)可查杀mykings僵尸网络团伙入侵释放的后门木马程序、挖矿木马,漏洞利用程序。
    2)企业终端管理系统已支持检测黑产利用“永恒之蓝”协议漏洞。 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

     

    三、详细分析

           mykings本次活动通过mssql爆破手段攻击windows服务器,根据系统版本下发不同的脚本。

    3.png


    WIN10以下主要是对windows defender有关闭操作,并且会使用mimikatz导出windows密码。各系统对应的脚本下载链接:

    Windows 10,http://173.208.139.170:8170/win10.txt

    Windows 服务器,http://173.208.139.170:8170/sa.xsl

    Windows xp,http://173.208.139.170:8170/s.xsl

    Win Vista~Win8,http://173.208.139.170:8170/abc.txt 

    脚本入口处搜集IP,进程,内存,处理器信息,上传到FTP

    4.png

     

    接着下载batpower.txt

    5.png


    Batpower首先下载kill.txt,主要作用是清理自身旧版本挖矿程序,以固定阵地,删除相应文件:

    6.png


    清理wmi启动项

    7.png


    下载uninstall.txt,卸载多款主流杀毒软件:

    8.png


    之后去ftp服务器下载三个挖矿木马文件,并设置成计划任务:

    9.png


    下载并设置v.sct开机启动,目前无法连接,具体功能暂时无法得知

    10.png


    继续下载执行wmi.txt,主要设置开机下载执行power.txt,s.txt

    11.png


    Power.txt及s.txt有多个地址可供下载

    12.png


    Power.txt功能与batpower.txt功能一样。 

    s.txt会去下载hxxp://173.208.153.130:8130/wpd.rar,这是一个自解压文件,主要功能是清除竞争对手挖矿木马,如:NSABuffMiner、kingminer,还有最新的“新冠”挖矿木马 “coronav2“。

    13.png


    最后下载执行hxxp://167.88.180.175:8175/download.txt,里面也会执行挖矿木马。

    14.png


    链接中的g.exe是pplive的loader模块,用做白利用,以下载并执行其他病毒模块。

    15.png


    该模块会根据命令行下载执行文件,不会做任何验证。

    16.png


    u.exe首先获取mirai僵尸网络下载IP

    17.png

     

    再获取更新地址:

    18.png


    扫描工具msinfo,并对公网和内网进行扫描攻击,包括使用永恒之蓝漏洞、SQL爆破、Telnet爆破、RDP爆破等多种手段:

    19.png


    Mirai携带的永恒之蓝攻击模块

    20.png


    max.exe则是暗云Ⅲ木马,攻击流程无变化。

    21.png


    暗云Ⅲ的更新域名及下载链接

    22.png


    23.png


    1201.exe是基于xmrig 2.0.4版本修改而来,矿机配置存放在资源段TXT中

    "url":"69.197.156.194:80",

    "user": "abc443",

    "pass": "x",

    "url":"win443.xmrpool.ru:443",

    "user": "abcd1443",

    "pass": "x",

    24.png

     

    IOCs

    MD5

    74a09ef83de2599529c9a6f0278fdb60

    9f86afae88b2d807a71f442891dfe3d4

    929c393fcfb72f9af56ce34df88f82bb

    539d218039ad0a2c6bf541af95a013bc

    a8c98125b9d04673f079bcc717e58a71

    5364fae1de8db8fa3faf07bfaf2b706f

    b150d411a1e29e43b6423f19db4fd3ed

    94d5e03b2d21f8f0c6d963570ecba6c1

    5d461acc19ac7d2a993ddf0d8866cb1a

    93515e391ac22a065279cadd8551d2bc

    bc7fc83ce9762eb97dc28ed1b79a0a10

    d9c32681d65c18d9955f5db42154a0f3

    f89cbaf4dbe490787adf5eeb9304d785

    44ac832c2b71b4874e544e2b04a72834

    6d0bb14c2f5a384bd5073a45db12dabe

    fa74df0a9a42d29018146520ae0b5585

    9459494db3750da9fab3d9deaf4d1106

    598ba6f7a900a78666bcb9774620f643

    2293f46b3c293e5c637343447e582fdb

    8e8f427d93e809137283abfad825b33d

    b6c1dacca555c61a26907296a04d10de

    a1783a56738b17ba117b5518399748b0

    64ce5ad470cfa503882a3dfac382c6b4

    a26ba601674371229eab93a585a79e6b

    5c56774156b5fefe2e465b4546006f9a

    61e1f73f2e8f566f959e3ffca120aa8b

    a8557ea0f4034ecf855087e3200354ac

    2da63739662c5ea7231c930b61f73a72

    5e87427c66ecb84a85700b1180d115f2

    f18e88259b1043a6e06c9a16d4c0475e

    1a7dcb9970287539774c7ade1cb7e483

    e827621c5185488122da57ac16d1fca0

    795dd160e8073d23f5c6954602bf3b89

    a5b75dfb3b3358ad1a2ef8025ddebb29

    cfa550296b848293f912fd625c114015

     

    IP

    208.110.71.194

    80.85.152.247

    66.117.2.182

    70.39.124.70

    150.107.76.227

    103.213.246.23

    103.106.250.161

    103.106.250.162

    144.208.127.215

    167.88.180.175

    172.83.155.170

    173.208.133.114

    173.208.153.130

    173.247.239.186

    192.236.160.237

    199.168.100.74

    23.236.69.114

    74.222.14.97

    66.117.6.174

     

    DOMAIN

    www.upme0611.info

    mbr.kill0604.ru

    js.ftp1202.site

    wmi.1103bye.xyz

    ok.xmr6b.ru 

     

    URL

    hxxp://167.88.180.175:8175/kill.txt

    hxxp://js.ftp1202.site:280/v.sct

    hxxp://167.88.180.175:8175/wmi.txt

    hxxp://173.208.153.130:8130/wpd.rar

    hxxp://167.88.180.175:8175/download.txt

    hxxp://js.ftp1202.site:280/v.sct

    hxxp://wmi.1103bye.xyz:8080/power.txt

    hxxp://172.83.155.170:8170/power.txt

    hxxp://192.236.160.237:8237/power.txt

    hxxp://144.208.127.215:8215/power.txt

    hxxp://103.106.250.161:8161/power.txt

    hxxp://103.106.250.162:8162/power.txt

    hxxp://144.208.127.215:8215/s.txt

    hxxp://103.106.250.161:8161/s.txt

    hxxp://172.83.155.170:8170/s.txt

    hxxp://192.236.160.237:8237/s.txt

    hxxp://103.106.250.162:8162/s.txt

    hxxp://wmi.1103bye.xyz:8080/s.txt

    hxxp://144.208.127.215:8215/s.txt

    hxxp://103.106.250.161:8161/s.txt

    hxxp://172.83.155.170:8170/s.txt

    hxxp://192.236.160.237:8237/s.txt

    hxxp://103.106.250.162:8162/s.txt

    hxxp://wmi.1103bye.xyz:8080/s.txt

    hxxp://173.247.239.186:8186/g.exe

    hxxp://173.247.239.186:8186/u.exe

    hxxp://199.168.100.74:8074/max.exe

    hxxp://199.168.100.74:8074/1201.rar

    hxxp://23.236.69.114:8114/dll/64npf.sys

    hxxp://23.236.69.114:8114/update.txt

    hxxp://23.236.69.114/ups.html

    hxxp://23.236.69.114:8114/dll/wpcap.dll

    hxxp://23.236.69.114:8114/dll/packet.dll

    hxxp://23.236.69.114:8114/dll/npptools.dll

    hxxp://173.208.133.114:8114/upsupx.exe

    hxxp://www.upme0611.info/address.txt

    hxxp://mbr.kill0604.ru/cloud.txt

    hxxp://74.222.14.97/xpxmr.dat

    hxxp://ok.xmr6b.ru/xpxmr.dat

    hxxp://ok.xmr6b.ru/ok/wpd.html

    hxxp://66.117.6.174/wpdmd5.txt

    hxxp://66.117.6.174/wpdtest.dat

    hxxp://66.117.6.174/ver.txt

    hxxp://66.117.6.174/shellver.txt

    hxxp://66.117.6.174/csrs.exe

    hxxp://23.236.69.114:8114/ups.html

    hxxp://66.117.6.174:8114/update.txt

    hxxp://66.117.6.174/wpd.jpg

    hxxp://66.117.6.174/my1.html

    hxxp://172.83.155.170:280/v.sct

    hxxp://139.5.177.19:8019/blue.txt 

     

    参考链接

    https://s.tencent.com/research/report/622.html

    https://mp.weixin.qq.com/s/KdeF1eaM-Dq1z_wOIb9_oA

    https://www.freebuf.com/column/187489.html

    # 腾讯安全 # Mykings僵尸网络木马 # 腾讯御界
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者