这是由一张图启发所写成的一篇文章，文章主要记录了关于Mykings挖矿的分析和溯源过程，欢迎各位大佬指正。

第一天 数据收集和整理

没有说明，只有一张图：

图中仅有一个域名不过也正是这个域名才有所发现，经访问该域名存活，并且存在相关文件，对所有涉及的数据进行整理后是这个样子的。

其中ups.dat是通过js.1226bye.xyz:280得v.sct脚本内容获取，v.sct的内容如下图所示。

有意思的是ups.dat是一个自解压文件，包含的文件信息如下图。

upx.exe也是采用了同样的方法存储了内部的文件，文件内容如图所示。

最后提取这三个文件，挨个看一看到底是个什么情况。

首先来看一看n.vbs，n.vbs内容相对简单，就是启动位于%temp%目录下的c3.bat，这个%temp%目录是之前自解压设置的目录，其实就是让n.vbs启动c3.bat

接下来看一看c3.bat是个什么情况。

c3.bat相比n.vbs就有所不同了，是一个内容非常复杂的处理脚本。从内容上看像一个清理脚本。

同时还有创建计划Mysa和Mysa2任务等。

以及清理相关计划任务的操作。

通过设置自启动来启动后门，下载位于http://js.mys2016.info:280/v1.sct的脚本内容。

可惜的是，这个域名已经失效了，没有更多的信息了。

除此之外还使用wmic下载http://ruisgood.ru域名下的相关文件。

通过ruisgood.ru又找到一些相关联的信息，收集的信息整理如下。

最后看一看excludes，查看内容后发现应该是一个挖矿的配置信息，内容如下图所示。

初步看出这里涉及一个矿池和相关的挖矿账号，应该是一起挖矿事件没错了。

自此，第一天的信息收集基本就到此了。

第二天 样本分析和溯源

收到了客户提供的样本，准备开始分析，首先来看看都有些什么文件。

首先有个info和Temp目录，还有一个system目录，不着急，一个一个慢慢看。

首先看看info目录下的文件，包含一个msief.exe，同第一天分析的ups.dat一样，是一个自解压文件，相关信息如图所示。

对比c3.bat，发现这个版本的有所不一样。并且涉及的域名也变化了。

紧接着继续看Temp目录下的文件情况，包含两个文件，一个conhosta.exe和一个conhost.exe，其中conhosta.exe也是一个自解压文件，相关信息如下图所示。

conhost.exe 通过查询到的资料表明，该程序可能是利用了pcshare的源码修改后的程序，主要功能是循环请求C2服务执行更新自身、执行命令、下载“挖矿”软件等。

如果是第一次运行，会释放一个xpdown.dat文件，位于C:Program FilesCommon Files目录下。

xpdown.dat的内容是一组ip和域名的集合。

conhosta.exe也是用于释放c3a.bat的，同样的还是看看bat的内容。内容上大同小异，还是有些地方不太一样。

将特殊域名本地化，将内容写入到C:WindowsSystem32driversetchosts文件中，进行本地解析。

紧接着就是一连串的ip出现，通过这个找到了之后需要的文件。

终于通过c3a.bat里面的power.txt找到一个可用的download.txt，并最终下回来了所有在download中列出来的文件。

其中u.exe主要功能用于设置dns，并修改为223.5.5.5和8.8.8.8。

1201.rar就是xmrig挖矿程序，修改文件后缀名为exe，查看属性即可看出该文件的作用，并且修改后缀名后出现了xmrig的图标。

20200510.rar被加壳保护，行为分析时进程直接退出，具体功能暂时不详。

max.exe通过hash，google到了一些相关信息。

最终将其确定为bootkit的安装程序了，之后的部分在详细说明。

g.exe功能未知，没有加壳，google也没有相关联的信息。

最后看下system目录下的文件，开始的时候只有csrs.exe，经过多方面的处理之后提取出相关的资料。

运行后发现有很多跟python相关的文件释放，怀疑是python打包的文件。使用工具提取，确实为python打包。

这里做一个额外的说明，大多数python打包的文件，在执行的时候都会释放一些python相关的文件，可以作为是否是python打包的一个点。

通过相关资料和技术手段，修复pyc头部，并最终反编译得到了原始的py文件，是一个明显利用了ms17010的后门程序。

通过

https://img.vim-cn.com/ef/5ab12fdf434f480022a89524ef1f6f97f92786.xml的内容继续寻找，还是找到了一些相关联的东西。

其中ups.rar为之前提及的u.exe，主要用于设置dns。

2. rar和之前的conhosta.exe是同一个文件。所以之前分析的关于conhosta.exe的释放内容完全适用于2.rar。

最后的max.rar，本身被vmp加壳保护，这和之前max.exe文件类似。

并且有相对应的信息：

通过google发现，这个就是Mykings中的bootkit工具，来看一看hash的情况，发现两者完全一致。

执行后释放了01.dat和02.dat两个文件，并删除了该文件。

在01.dat中发现了一些和反病毒程序相关的信息。

报告中提及的关于信息

这些信息就是暗藏在01.dat中，通过寻找终于是发现了这两个网址的信息。

同时还有一个TestMsg.tmp和TestMsg64.tmp，用于下载新的文件。由于这里分析的时候没有开启网络连接，所以并没有下载到TestMsg.tmp和TestMsg64.tmp，下图的信息为Mykings中涉及的TestMsg.tmp和TestMsg64.tmp。

尝试着通过download.txt提及到的域名来下来upsupx.exe和ok.exe，发现竟然真的可以下回来。

并比对sha1发现，upsupx.exe就是conhost.exe，是利用pcshare改版后的后门文件，从ok.exe的图标不难发现和之前的max.exe图标一致，且两者sha1值一样，说明这就是同一个文件，也就是用于bootkit的攻击程序。

报告最后提及了csrs的来源，不过可惜的是，这不适合与这次分析的csrs，从这下载连接中可以发现，csrs不过是被下载回来的一个执行文件，因此还需要找到csrs的来源，才能搞清楚整个事件的来龙去脉，不过可惜的是不再有后续的消息了。

本次事件中并未发现相关EternalBlue spreader的传播模块。

自此整个事件的溯源，基本上就到此为止了，更多的写出了我在整个溯源过程中的思路，并一步一步记录了如何去通过相关信息关联到更多有用的信息。

原文来源：看雪学院

本文始发于微信公众号（网络安全应急技术国家工程实验室）：一张图引发的Mykings挖矿分析和溯源