Mykings團夥使用暗雲Ⅲbootkit感染大量主機挖礦,收益超70萬
2019-09-19 15:02
1 概述
近期,江民赤豹安全實驗室追蹤到Mykings駭客組織開啟了新一輪挖礦僵屍網路攻擊,操縱者利用不同技術感染機器,此次主要利用了暗雲Ⅲbookit為起點感染了超過6500台主機,挖礦使用新的錢包收益已超過75萬人民幣,並且仍每天以約10個XMR的速度挖掘。該系列病毒為Mykings團夥(又稱”隱匿者”)所編寫,主要功能包括挖礦,攻擊掃描,後門駐留,密碼竊取,剪貼簿劫持,瀏覽器劫持等,具有強大的傳播能力和駐留能力,危害性極大。
2 流程圖示
以暗雲III Bootkit木馬為起點, 流程如下:
從左到右流程簡介如下: 首先bootkit(Trojan.DarkGalaxy.b)會下載一段代碼TestMsg[64].tmp執行, 該代碼會進行瀏覽器劫持以及下載upsupx.exe(Trojan.Miner.gdb)模組. 後者會進行本地清理以替換舊版本病毒, 同時還會下載64work.rar門羅幣挖礦模組, item.dat後門模組以及下一級下載者msiefs.exe. 會有大量的重複感染下載, 除了重複功能, 其他有v.exe(下載器, 下載的模組功能包括剪貼簿劫持以盜取電子幣和線上支付系統轉帳貨幣等), msinfo.exe(暴破掃描入侵,以及下載漏洞攻擊模組), csrs.exe(永恆之藍等系列ms17010漏洞攻擊模組), up.txt(收集本機資訊, 包括調用mimikatz收集的本機密碼等)。該過程大量地進行冗餘感染, 以求保存病毒。
3 文件簡介
(一) max.exe
該程式為一款基於MBR的BOOTKIT病毒, 通過啟動過程中HOOK系統執行流程以實現自身代碼執行。 它會對抗安全軟體, 注入系統進程, 從網路下載代碼及檔並執行。詳細分析報告見[Trojan.DarkGalaxy.b分析報告]
https://www.jiangmin.com/download/report/Trojan.DarkGalaxy.b%E5%88%86%E6%9E%90%E6%8A%A5%E5%91%8A.pdf
(二) upxups.exe(由(一)下載執行)
該程式為一款下載器, 會下載挖礦模組,下一級下載器等, 還會進行後續的冗餘感染以對抗查殺, 並根據雲端設定檔查殺本地進程和檔以對抗競爭對手或清理舊版病毒。詳細分析報告見[Trojan.Miner.gda分析報告]
https://www.jiangmin.com/download/report/Trojan.Miner.gda%E5%88%86%E6%9E%90%E6%8A%A5%E5%91%8A.pdf
(三) msiefs.exe(由(二)下載執行)
該程式的主要功能包括:
1. 刪除系統帳戶
2. 停止,啟動相應服務
3. 隱藏檔, 刪除檔
4. 結束進程
5. 設置檔,目錄存取權限
6. 通過計畫任務,註冊表及WMI事件訂閱實現持久化和下階段負載傳遞
7. 設置防火牆規則, 加固本機
8. 運行item.dat後門
(四) item.dat(由(二)下載, 由(三)執行)
本模組修改自https://github.com/LiveMirror/pcshare, 主要用作後門功能, 支援遠端桌面、遠端終端機、遠端檔管理、遠端音訊視頻控制、遠端滑鼠鍵盤控制、鍵盤記錄、遠端進程管理、遠端註冊表管理、遠端服務管理、遠端視窗管理等功能. 遠程控制端位址為192.187.111.66:6666
(五) v.exe(由(三)-6下載執行)
此程式主要功能為下載4個程式並執行:
1. http://f321y.com:8888/buff2.dat -> $TEMP\buff2.exe
2. http://f321y.com:8888/docv8k.dat -> $TEMP\docv8k.exe
3. http://f321y.com:8888/dhelper.dat -> $TEMP\dhelper.exe
4. http://f321y.com:8888/pred.dat -> $TEMP\pred.exe
由於連接失效, 無法得到這四個檔。 但通過搜索, 發現buff2.exe應該是剪貼簿劫持程式, 用於替換錢包中各種電子錢錢包位址以及線上支付系統的卡號。
(六) S.ps1(由(三)-6下載執行)
功能包括:
1. 結束名為svchost.exe或conhost.exe但映射路徑並非在%windir%\system32或%windir%\syswow64下的進程
2. 啟動c:\windows\temp\conhost.exe, 此文件即為(二)步中upsupx.exe
(七) s.txt(由(三)-6下載執行)
功能包括:
1. 從http://139.5.177.19/l.txt讀取資料, 該資料為要結束的進程清單以及是否刪除進程主EXE檔, 解析後進行操作。
2. 刪除名為”fuckyoumm2_consumer”的WMI consumer及名為” fuckyoumm2_filter”的WMI filter
3. 下載執行ps腳本http://79.124.78.127/up.txt
(八) up.txt(由(七)-3下載執行)
功能主要為收集本機資訊並上傳, 收集的資訊包括:
1. 訪問http://2019.ip138.com/ic.asp得到本機外網IP
2. 當前運行進程主映射路徑及命令列參數
3. 作業系統版本
4. 記憶體容量
5. 處理器利用率
6. 調用https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1收集而來的用戶名,密碼,功能變數名稱等資訊上傳方式為, 通過ftp:// 192.187.111.66:21以帳戶名up密碼1433將檔上傳。
(九) s.jpg(由(三)-6下載執行)
功能包括:
1. 得到本機系統資訊並輸出到目前的目錄下檔c.txt
2. 結束進程
3. 隱藏檔, 刪除檔, 設置檔存取權限
4. 設置防火牆規則, 加固本機
(十) u.exe(由(七)-3下載執行)
功能包括:
1. 下載檔案到指定目錄以備後續使用:
下載http://66.117.6.174/dll/64npf.sys -> c:\windows\system\Drivers\npf.sys
下載http://66.117.6.174/dll/npf.sys -> c:\windows\system\Drivers\npf.sys
下載http://66.117.6.174/dll/wpcap.dll -> c:\windows\system\wpcap.dll
下載http://66.117.6.174/dll/npptools.dll -> c:\windows\system\npptools.dll
下載http://66.117.6.174/dll/packet.dll -> c:\windows\system\packet.dll
上述檔均為winpcap產品中的dll檔.
2. 解析http://66.117.6.174/update.txt下載執行指定檔:
其中msinfo.exe為掃描暴破模組。
3. 創建名為xWinWpdSrv的服務並啟動(該服務為攻擊掃描模組), 參數為c:\windows\system\msinfo.exe -s syn 1000意思為使用TCP_SYN掃描,最大掃描執行緒數1000
(十一) msinfo.exe(由(十)-2下載執行)
此模組的功能包括:
1. 網路掃描並將掃描結果記錄, 代碼修改自https://github.com/robertdavidgraham/masscan, 用於掃描內外網ip指定埠是否開放, 埠包括22(ssh), 23(telnet), 80(HTTP), 135(RPC), 445(局域網共用等), 1433(SQLSERVER), 3306(MYSQL), 3389(RDP)等.
2. 根據CC下發的密碼及設定檔, 對上一步結果記錄進行暴破入侵
3. 下載漏洞攻擊模組並運行
(十二) my1.bat(由(十)-2下載執行)
此模組功能包括:
1. 本地檔目錄的隱藏, 存取權限的設置
2. 創建WMI事件訂閱以實現持久化下載下一階段負載
3. 本地一些清理工作
(十三) csrs.exe(由(十二)-3下載執行)
該模組為py打包的Ms17010系列漏洞攻擊模組, 攻擊代碼由https://github.com/worawit/MS17-010 修改而來, 攻擊成功後執行的操作為:
1. 創建管理員用戶
2. 創建WMI事件訂閱以實現持久化下載下一階段負載
5 應對措施及建議
1. 安裝江民殺毒軟體並保證病毒庫更新, 打開安全監控等。
2. 及時更新作業系統, 安裝補丁。
3. 電腦應設置強登入密碼, 避免暴力破解。
4. 登入密碼應做到兩兩不同, 避免由於其他因素導致的密碼洩露影響到本機安全. 特別注意到, up.txt此病毒會收集本機的所有帳戶密碼上傳到CC伺服器, 故已經被感染的機器在清除病毒後應重設所有密碼且密碼不應與統一域內任何機器的密碼重複。
|