一张图引发的Mykings挖矿分析和溯源

  • A+
所属分类:安全文章
一张图引发的Mykings挖矿分析和溯源
这是由一张图启发所写成的一篇文章,文章主要记录了关于Mykings挖矿的分析和溯源过程,欢迎各位大佬指正。一张图引发的Mykings挖矿分析和溯源
第一天 数据收集和整理一张图引发的Mykings挖矿分析和溯源

没有说明,只有一张图:

一张图引发的Mykings挖矿分析和溯源
图中仅有一个域名不过也正是这个域名才有所发现,经访问该域名存活,并且存在相关文件,对所有涉及的数据进行整理后是这个样子的。

一张图引发的Mykings挖矿分析和溯源

其中ups.dat是通过js.1226bye.xyz:280得v.sct脚本内容获取,v.sct的内容如下图所示。

一张图引发的Mykings挖矿分析和溯源

有意思的是ups.dat是一个自解压文件,包含的文件信息如下图。

一张图引发的Mykings挖矿分析和溯源

upx.exe也是采用了同样的方法存储了内部的文件,文件内容如图所示。

一张图引发的Mykings挖矿分析和溯源

最后提取这三个文件,挨个看一看到底是个什么情况。

首先来看一看n.vbs,n.vbs内容相对简单,就是启动位于%temp%目录下的c3.bat,这个%temp%目录是之前自解压设置的目录,其实就是让n.vbs启动c3.bat

一张图引发的Mykings挖矿分析和溯源

接下来看一看c3.bat是个什么情况。

c3.bat相比n.vbs就有所不同了,是一个内容非常复杂的处理脚本。从内容上看像一个清理脚本。

一张图引发的Mykings挖矿分析和溯源

同时还有创建计划Mysa和Mysa2任务等。

一张图引发的Mykings挖矿分析和溯源

以及清理相关计划任务的操作。

一张图引发的Mykings挖矿分析和溯源

通过设置自启动来启动后门,下载位于http://js.mys2016.info:280/v1.sct的脚本内容。

一张图引发的Mykings挖矿分析和溯源

可惜的是,这个域名已经失效了,没有更多的信息了。

除此之外还使用wmic下载http://ruisgood.ru域名下的相关文件。

一张图引发的Mykings挖矿分析和溯源

通过ruisgood.ru又找到一些相关联的信息,收集的信息整理如下。

一张图引发的Mykings挖矿分析和溯源

最后看一看excludes,查看内容后发现应该是一个挖矿的配置信息,内容如下图所示。

一张图引发的Mykings挖矿分析和溯源

初步看出这里涉及一个矿池和相关的挖矿账号,应该是一起挖矿事件没错了。

自此,第一天的信息收集基本就到此了。

第二天 样本分析和溯源

收到了客户提供的样本,准备开始分析,首先来看看都有些什么文件。

首先有个info和Temp目录,还有一个system目录,不着急,一个一个慢慢看。

一张图引发的Mykings挖矿分析和溯源

首先看看info目录下的文件,包含一个msief.exe,同第一天分析的ups.dat一样,是一个自解压文件,相关信息如图所示。

一张图引发的Mykings挖矿分析和溯源

对比c3.bat,发现这个版本的有所不一样。并且涉及的域名也变化了。

一张图引发的Mykings挖矿分析和溯源

紧接着继续看Temp目录下的文件情况,包含两个文件,一个conhosta.exe和一个conhost.exe,其中conhosta.exe也是一个自解压文件,相关信息如下图所示。

一张图引发的Mykings挖矿分析和溯源

conhost.exe 通过查询到的资料表明,该程序可能是利用了pcshare的源码修改后的程序,主要功能是循环请求C2服务执行更新自身、执行命令、下载“挖矿”软件等。

如果是第一次运行,会释放一个xpdown.dat文件,位于C:Program FilesCommon Files目录下。

xpdown.dat的内容是一组ip和域名的集合。

一张图引发的Mykings挖矿分析和溯源

conhosta.exe也是用于释放c3a.bat的,同样的还是看看bat的内容。内容上大同小异,还是有些地方不太一样。

一张图引发的Mykings挖矿分析和溯源

将特殊域名本地化,将内容写入到C:WindowsSystem32driversetchosts文件中,进行本地解析。

一张图引发的Mykings挖矿分析和溯源

紧接着就是一连串的ip出现,通过这个找到了之后需要的文件。

一张图引发的Mykings挖矿分析和溯源

一张图引发的Mykings挖矿分析和溯源

终于通过c3a.bat里面的power.txt找到一个可用的download.txt,并最终下回来了所有在download中列出来的文件。

一张图引发的Mykings挖矿分析和溯源

一张图引发的Mykings挖矿分析和溯源

一张图引发的Mykings挖矿分析和溯源

其中u.exe主要功能用于设置dns,并修改为223.5.5.5和8.8.8.8。

一张图引发的Mykings挖矿分析和溯源

1201.rar就是xmrig挖矿程序,修改文件后缀名为exe,查看属性即可看出该文件的作用,并且修改后缀名后出现了xmrig的图标。

一张图引发的Mykings挖矿分析和溯源

20200510.rar被加壳保护,行为分析时进程直接退出,具体功能暂时不详。

一张图引发的Mykings挖矿分析和溯源

max.exe通过hash,google到了一些相关信息。

一张图引发的Mykings挖矿分析和溯源

最终将其确定为bootkit的安装程序了,之后的部分在详细说明。

g.exe功能未知,没有加壳,google也没有相关联的信息。

一张图引发的Mykings挖矿分析和溯源

最后看下system目录下的文件,开始的时候只有csrs.exe,经过多方面的处理之后提取出相关的资料。

一张图引发的Mykings挖矿分析和溯源

运行后发现有很多跟python相关的文件释放,怀疑是python打包的文件。使用工具提取,确实为python打包。

这里做一个额外的说明,大多数python打包的文件,在执行的时候都会释放一些python相关的文件,可以作为是否是python打包的一个点。

一张图引发的Mykings挖矿分析和溯源

通过相关资料和技术手段,修复pyc头部,并最终反编译得到了原始的py文件,是一个明显利用了ms17010的后门程序。

一张图引发的Mykings挖矿分析和溯源

通过

https://img.vim-cn.com/ef/5ab12fdf434f480022a89524ef1f6f97f92786.xml的内容继续寻找,还是找到了一些相关联的东西。

一张图引发的Mykings挖矿分析和溯源

其中ups.rar为之前提及的u.exe,主要用于设置dns。

2. rar和之前的conhosta.exe是同一个文件。所以之前分析的关于conhosta.exe的释放内容完全适用于2.rar。

最后的max.rar,本身被vmp加壳保护,这和之前max.exe文件类似。

一张图引发的Mykings挖矿分析和溯源

并且有相对应的信息:

一张图引发的Mykings挖矿分析和溯源

通过google发现,这个就是Mykings中的bootkit工具,来看一看hash的情况,发现两者完全一致。

一张图引发的Mykings挖矿分析和溯源

一张图引发的Mykings挖矿分析和溯源

执行后释放了01.dat和02.dat两个文件,并删除了该文件。

一张图引发的Mykings挖矿分析和溯源

在01.dat中发现了一些和反病毒程序相关的信息。

一张图引发的Mykings挖矿分析和溯源

一张图引发的Mykings挖矿分析和溯源

报告中提及的关于信息

一张图引发的Mykings挖矿分析和溯源

这些信息就是暗藏在01.dat中,通过寻找终于是发现了这两个网址的信息。

一张图引发的Mykings挖矿分析和溯源

同时还有一个TestMsg.tmp和TestMsg64.tmp,用于下载新的文件。由于这里分析的时候没有开启网络连接,所以并没有下载到TestMsg.tmp和TestMsg64.tmp,下图的信息为Mykings中涉及的TestMsg.tmp和TestMsg64.tmp。

一张图引发的Mykings挖矿分析和溯源

尝试着通过download.txt提及到的域名来下来upsupx.exe和ok.exe,发现竟然真的可以下回来。

一张图引发的Mykings挖矿分析和溯源

并比对sha1发现,upsupx.exe就是conhost.exe,是利用pcshare改版后的后门文件,从ok.exe的图标不难发现和之前的max.exe图标一致,且两者sha1值一样,说明这就是同一个文件,也就是用于bootkit的攻击程序。

报告最后提及了csrs的来源,不过可惜的是,这不适合与这次分析的csrs,从这下载连接中可以发现,csrs不过是被下载回来的一个执行文件,因此还需要找到csrs的来源,才能搞清楚整个事件的来龙去脉,不过可惜的是不再有后续的消息了。

一张图引发的Mykings挖矿分析和溯源

本次事件中并未发现相关EternalBlue spreader的传播模块。

一张图引发的Mykings挖矿分析和溯源

自此整个事件的溯源,基本上就到此为止了,更多的写出了我在整个溯源过程中的思路,并一步一步记录了如何去通过相关信息关联到更多有用的信息。



原文来源:看雪学院

一张图引发的Mykings挖矿分析和溯源

本文始发于微信公众号(网络安全应急技术国家工程实验室):一张图引发的Mykings挖矿分析和溯源

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: