查看原文
其他

MyKings僵尸网络的新动向:利用NSIS脚本挖门罗币

0x1 概述
近期腾讯安全御见威胁情报中心监测到Mykings僵尸网络开始传播新型挖矿木马,该木马利用NSIS的插件和脚本功能实现了挖矿木马的执行、更新和写入启动项,同时还具备通过SMB爆破进行局域网传播的能力,因此腾讯御见威胁情报中心将其命名为NSISMiner。

Mykings僵尸网络2017 年 2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy、RAT、Miner 在内的多种不同用途的恶意代码。


MyKings僵尸网络此次传播的恶意代码在挖矿的同时进行SMB爆破,使得其内网扩散威力进一步增强。多家安全厂商评估认为MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。


0x2 样本分析
通过僵尸网络下载的king.exe是NSIS包文件,运行时通过.nsi脚本代码下载hxxp://kr1s.ru/doc.dat到Temp目录保存为doc.exe并执行。doc.exe也是一个NSIS文件,运行时通过.nsi脚本执行自身文件中包含的NsCpuCNMiner*.exe进行挖矿,同时通过SMB爆破将doc.exe感染到更多的内网机器进行挖矿攻击。

NSISMiner执行流程


0x2.1 king.exe分析
Mykings僵尸网络在受害主机上通过白利用Regsvr32.exe执行脚本js.myking.pw:280/v.sct,该脚本下载king.dat然后保存为king.exe并执行。

用7z程序查看king.dat文件目录

King.exe文件首先通过nsis脚本中的插件inetc.dll下载doc.exe文件放在temp目录中,然后执行该文件。
 


0x2.2 doc.exe分析
用7z程序查看doc.dat文件目录

doc.exe的nsi脚本拷贝自身到$APPDATA\Temps\DOC001.exe并执行。

然后清除了注册表中的两个启动项,删除三个名为IMG00.exe的文件,疑是版本更新。然后在启动目录创建DOC001.exe的快捷方式,用于开机启动。

然后脚本根据系统版本,执行NSIS文件$R9目录中x86或者x64的XMR挖矿程序,

参数:-o stratum+tcp://xmr-eu2.nanopool.org:14444 -t 1 -u 41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNfiCW7xghhbKZV6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2/21 -p x

在矿池中查询该钱包地址,发现该钱包从二月份至五月份总共挖了72.067204536923 个门罗币,约为72752人民币。(赚的真少啊,病毒挖矿想发财也不容易^_^)

利用arp -a 和 net view获取局域网主机信息,再使用net use进行帐号密码猜解,成功后,将自身复制到可远程访问和自启动位置,从而在局域网中传播doc.exe文件。

arp –a命令查看局域网IP

木马尝试对局域网主机攻击时的流量抓包


0x2.3 java.exe分析
判断是否存在java.exe,不存在则从http://kr1s.ru/java.dat中下载并重命名为java.exe

该文件如果用WinRar打开则正常显示1.avi,但在脚本执行该文件时加了参数-pJavajre_set7z后,解压出了四个文件,一个nsis脚本文件,两个数据文件,一个空文件,

然后jar2.exe中的nsis脚本会将jare.7z1和temps.7z1数据合并成另一个挖矿exe文件,写到目录$APPDATA\dhelper.exe中,并且将该文件写入启动项Software\Microsoft\Windows NT\CurrentVersion\Winlogon中,

0x3 溯源分析
通过腾讯御见威胁情报中心查询域名mykings.pw可以在威胁情报事件中关联到mykings僵尸网络。

查询NSISMiner挖矿木马使用的域名kr1s.ru,发现其创建时间为2018.03.17,相对于mykings僵尸网络来说,此域名启用时间较晚。


0x4 安全建议
腾讯御见威胁情报中心提醒用户注意以下几点:
1、关闭不必要的端口,方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html;
3、建议局域网用户切勿使用弱口令,防止病毒通过smb暴力破解在局域网内主动扩散;
3、推荐企业用户使用腾讯御点保护终端电脑不被入侵。(下载地址:https://s.tencent.com/product/yd/index.html)
4、个人用户可使用腾讯电脑管家,拦截可能的病毒攻击。

0x5 IOCs
矿池:
xmr-eu2.nanopool.org:14444

钱包地址:
41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNfiCW7xghhbKZV6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2

url:
hxxp://js.mykings.pw:280/v.sct
hxxp://js.mys2016.info:280/v.sct
hxxp://kr1s.ru/doc.dat
hxxp://kr1s.ru/tess.html
hxxp://kr1s.ru/test.html
hxxp://kr1s.ru/java.dat

MD5:
e0b26bbbb4c5c15db0db0b84080330aa
a3c809115083320fb77a560b851c3e92
c5535409ed97cb0c483cd7c31cdf973d
6d068eb74f288b66b9bcef8936d77fbe
f96f359f5bcd94314ccaa6667a3c99ab
d4cf15a0baab5256bdccbd917e2dfe7c
a8a6065fad97291d894389731f4ec25c
a15585b1e9e8acc79b4391e3001ebcb2
f3d37b8ae207153fc44def1b0e318c97
505b0e3b47c849fdf621d35b220d11ea
47e707ae378d08d18541383d6be9f14b
3ee57ba3c9d5cd49eaeffb20abc6225f
fcca0db3248da08e25295c5729012394
1b90de035e31d41f9c135759ff6ce876
f1d2942fa19e33e7320933f7aad0f1a5
cc4793abc47de8bf122fa15b096c6b59
f1db25aa1a700be143c6e591bbe2cac9
c857547143c14484ebab70ad85a4b409
7510855e6351f2eddd1033f853bebda6
e6b27bd1c60ba8cdffa4058ab19b600e
d8243dd82905899239f637a89bef9af5
d1b58b1fdc3f3ae36ffe7050ddeb077f
724a415b1ed47d93945606ca5f58202d
f06822014a27a9ddf43d70c2a5c80062
b30f3fff4a636cc108b1e1fec7e211da
0d1714c0bb4f5eee15f757c61e9bb680



了解腾讯企业级安全产品

腾讯御见威胁情报中心诚邀各路英豪加盟

安全应急求助,请联系腾讯管家

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存