1 概述

近期，江民赤豹安全實驗室追蹤到Mykings黑客組織開啟了新一輪挖礦僵尸網絡攻擊，操縱者利用不同技術感染機器，此次主要利用了暗云Ⅲbookit為起點感染了超過6500臺主機，挖礦使用新的錢包收益已超過75萬人民幣，并且仍每天以約10個XMR的速度挖掘。該系列病毒為Mykings團伙(又稱”隱匿者”)所編寫,主要功能包括挖礦,攻擊掃描,后門駐留,密碼竊取,剪貼板劫持,瀏覽器劫持等,具有強大的傳播能力和駐留能力,危害性極大。

 

2 流程圖示

以暗云III Bootkit木馬為起點, 流程如下:

 

從左到右流程簡介如下: 首先bootkit(Trojan.DarkGalaxy.b)會下載一段代碼TestMsg[64].tmp執行, 該代碼會進行瀏覽器劫持以及下載upsupx.exe(Trojan.Miner.gdb)模塊. 后者會進行本地清理以替換舊版本病毒, 同時還會下載64work.rar門羅幣挖礦模塊, item.dat后門模塊以及下一級下載者msiefs.exe. 會有大量的重復感染下載, 除了重復功能,  其他有v.exe(下載器, 下載的模塊功能包括剪切板劫持以盜取電子幣和在線支付系統轉賬貨幣等), msinfo.exe(暴破掃描入侵,以及下載漏洞攻擊模塊), csrs.exe(永恒之藍等系列ms17010漏洞攻擊模塊), up.txt(收集本機信息, 包括調用mimikatz收集的本機口令等)。該過程大量地進行冗余感染, 以求保存病毒。

3 文件簡介

(一) max.exe

該程序為一款基于MBR的BOOTKIT病毒, 通過啟動過程中HOOK系統執行流程以實現自身代碼執行。 它會對抗安全軟件, 注入系統進程, 從網絡下載代碼及文件并執行。詳細分析報告見[Trojan.DarkGalaxy.b分析報告]

http://www.myweblink.cn/download/report/Trojan.DarkGalaxy.b%E5%88%86%E6%9E%90%E6%8A%A5%E5%91%8A.pdf

(二) upxups.exe(由(一)下載執行)

該程序為一款下載器, 會下載挖礦模塊,下一級下載器等, 還會進行后續的冗余感染以對抗查殺, 并根據云端配置文件查殺本地進程和文件以對抗競爭對手或清理舊版病毒。詳細分析報告見[Trojan.Miner.gda分析報告]

http://www.myweblink.cn/download/report/Trojan.Miner.gda%E5%88%86%E6%9E%90%E6%8A%A5%E5%91%8A.pdf

(三) msiefs.exe(由(二)下載執行)

該程序的主要功能包括:

1. 刪除系統賬戶

2.  停止,啟動相應服務

3.  隱藏文件, 刪除文件

4. 結束進程

5.  設置文件,目錄訪問權限

6.  通過計劃任務,注冊表及WMI事件訂閱實現持久化和下階段負載傳遞

7.  設置防火墻規則, 加固本機

8.  運行item.dat后門

(四) item.dat(由(二)下載, 由(三)執行)

本模塊修改自https://github.com/LiveMirror/pcshare, 主要用作后門功能, 支持遠程桌面、遠程終端、遠程文件管理、遠程音頻視頻控制、遠程鼠標鍵盤控制、鍵盤記錄、遠程進程管理、遠程注冊表管理、遠程服務管理、遠程窗口管理等功能. 遠程控制端地址為192.187.111.66:6666

 

(五) v.exe(由(三)-6下載執行)

此程序主要功能為下載4個程序并執行:

1. http://f321y.com:8888/buff2.dat -> $TEMP\buff2.exe

2. http://f321y.com:8888/docv8k.dat -> $TEMP\docv8k.exe

3. http://f321y.com:8888/dhelper.dat -> $TEMP\dhelper.exe

4. http://f321y.com:8888/pred.dat -> $TEMP\pred.exe

由于連接失效, 無法得到這四個文件。 但通過搜索, 發現buff2.exe應該是剪切板劫持程序, 用于替換錢包中各種電子貨幣錢包地址以及在線支付系統的卡號。

 

(六) S.ps1(由(三)-6下載執行)

功能包括:

1. 結束名為svchost.exe或conhost.exe但映像路徑并非在%windir%\system32或%windir%\syswow64下的進程

2. 啟動c:\windows\temp\conhost.exe, 此文件即為(二)步中upsupx.exe

(七) s.txt(由(三)-6下載執行)

功能包括:
1. 從http://139.5.177.19/l.txt讀取數據, 該數據為要結束的進程列表以及是否刪除進程主EXE文件, 解析后進行操作。 

2. 刪除名為”fuckyoumm2_consumer”的WMI consumer及名為” fuckyoumm2_filter”的WMI filter

3. 下載執行ps腳本http://79.124.78.127/up.txt

(八)  up.txt(由(七)-3下載執行)

功能主要為收集本機信息并上傳, 收集的信息包括:

1. 訪問http://2019.ip138.com/ic.asp得到本機外網IP

2. 當前運行進程主映像路徑及命令行參數

3. 操作系統版本

4. 內存容量

5. 處理器利用率

6. 調用https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1收集而來的用戶名,密碼,域名等信息上傳方式為, 通過ftp:// 192.187.111.66:21以賬戶名up密碼1433將文件上傳。

(九)  s.jpg(由(三)-6下載執行)

功能包括:

1. 得到本機系統信息并輸出到當前目錄下文件c.txt

2. 結束進程

3. 隱藏文件, 刪除文件, 設置文件訪問權限

4. 設置防火墻規則, 加固本機

(十) u.exe(由(七)-3下載執行)

功能包括:

1.  下載文件到指定目錄以備后續使用:

下載http://66.117.6.174/dll/64npf.sys -> c:\windows\system\Drivers\npf.sys

下載http://66.117.6.174/dll/npf.sys -> c:\windows\system\Drivers\npf.sys

下載http://66.117.6.174/dll/wpcap.dll -> c:\windows\system\wpcap.dll

下載http://66.117.6.174/dll/npptools.dll -> c:\windows\system\npptools.dll

下載http://66.117.6.174/dll/packet.dll -> c:\windows\system\packet.dll

上述文件均為winpcap產品中的dll文件.

2. 解析http://66.117.6.174/update.txt下載執行指定文件:

其中msinfo.exe為掃描暴破模塊。

3.  創建名為xWinWpdSrv的服務并啟動(該服務為攻擊掃描模塊), 參數為c:\windows\system\msinfo.exe -s syn 1000意思為使用TCP_SYN掃描,最大掃描線程數1000
 

(十一) msinfo.exe(由(十)-2下載執行)

此模塊的功能包括:

1. 網絡掃描并將掃描結果記錄, 代碼修改自https://github.com/robertdavidgraham/masscan, 用于掃描內外網ip指定端口是否開放, 端口包括22(ssh), 23(telnet), 80(HTTP), 135(RPC), 445(局域網共享等), 1433(SQLSERVER), 3306(MYSQL), 3389(RDP)等. 

2. 根據CC下發的密碼及配置文件, 對上一步結果記錄進行暴破入侵

3. 下載漏洞攻擊模塊并運行
 

(十二) my1.bat(由(十)-2下載執行)

此模塊功能包括:

1.  本地文件目錄的隱藏, 訪問權限的設置

2.  創建WMI事件訂閱以實現持久化下載下一階段負載

3. 本地一些清理工作
 

(十三) csrs.exe(由(十二)-3下載執行)

該模塊為py打包的Ms17010系列漏洞攻擊模塊, 攻擊代碼由https://github.com/worawit/MS17-010 修改而來, 攻擊成功后執行的操作為: 

1. 創建管理員用戶

2. 創建WMI事件訂閱以實現持久化下載下一階段負載

 

5 應對措施及建議

1. 安裝江民殺毒軟件并保證病毒庫更新, 打開安全監控等。

2. 及時更新操作系統, 安裝補丁。

3. 計算機應設置強登陸口令, 避免暴力破解。

4. 登陸口令應做到兩兩不同, 避免由于其他因素導致的口令泄露影響到本機安全. 特別注意到, up.txt此病毒會收集本機的所有賬戶口令上傳到CC服務器, 故已經被感染的機器在清除病毒后應重設所有口令且口令不應與統一域內任何機器的口令重復。