2019-09-19 来源:安全播报
1概述 近期,江民赤豹安全实验室追踪到mykings黑客组织开启了新一轮挖矿僵尸网络攻击,操纵者利用不同技术感染机器,此次主要利用了暗云ⅲbookit为起点感染了超过6500台主机,挖矿使
以暗云iii bootkit木马为起点, 流程如下:
从左到右流程简介如下: 首先bootkit(trojan.darkgalaxy.b)会下载一段代码testmsg[64].tmp执行, 该代码会进行浏览器劫持以及下载upsupx.exe(trojan.miner.gdb)模块. 后者会进行本地清理以替换旧版本病毒, 同时还会下载64work.rar门罗币挖矿模块, item.dat后门模块以及下一级下载者msiefs.exe. 会有大量的重复感染下载, 除了重复功能, 其他有v.exe(下载器, 下载的模块功能包括剪切板劫持以盗取电子币和在线支付系统转账货币等), msinfo.exe(暴破扫描入侵,以及下载漏洞攻击模块), csrs.exe(永恒之蓝等系列ms17010漏洞攻击模块), up.txt(收集本机信息, 包括调用mimikatz收集的本机口令等)。该过程大量地进行冗余感染, 以求保存病毒。
https://www.jiangmin.com/download/report/trojan.darkgalaxy.b分析报告.pdf
https://www.jiangmin.com/download/report/trojan.miner.gda分析报告.pdf
1. 删除系统账户
2. 停止,启动相应服务
3. 隐藏文件, 删除文件
4. 结束进程
5. 设置文件,目录访问权限
6. 通过计划任务,注册表及wmi事件订阅实现持久化和下阶段负载传递
7. 设置防火墙规则, 加固本机
8. 运行item.dat后门
1. http://f321y.com:8888/buff2.dat -> $temp\buff2.exe
2. http://f321y.com:8888/docv8k.dat -> $temp\docv8k.exe
3. http://f321y.com:8888/dhelper.dat -> $temp\dhelper.exe
4. http://f321y.com:8888/pred.dat -> $temp\pred.exe
由于连接失效, 无法得到这四个文件。 但通过搜索, 发现buff2.exe应该是剪切板劫持程序, 用于替换钱包中各种电子货币钱包地址以及在线支付系统的卡号。
1. 结束名为svchost.exe或conhost.exe但映像路径并非在%windir%\system32或%windir%\syswow64下的进程
2. 启动c:\windows\temp\conhost.exe, 此文件即为(二)步中upsupx.exe
2. 删除名为”fuckyoumm2_consumer”的wmi consumer及名为” fuckyoumm2_filter”的wmi filter
3. 下载执行ps脚本http://79.124.78.127/up.txt
1. 访问http://2019.ip138.com/ic.asp得到本机外网ip
2. 当前运行进程主映像路径及命令行参数
3. 操作系统版本
4. 内存容量
5. 处理器利用率
6. 调用https://raw.githubusercontent.com/mattifestation/powersploit/master/exfiltration/invoke-mimikatz.ps1收集而来的用户名,密码,域名等信息上传方式为, 通过ftp:// 192.187.111.66:21以账户名up密码1433将文件上传。
1. 得到本机系统信息并输出到当前目录下文件c.txt
2. 结束进程
3. 隐藏文件, 删除文件, 设置文件访问权限
4. 设置防火墙规则, 加固本机
1. 下载文件到指定目录以备后续使用:
下载http://66.117.6.174/dll/64npf.sys -> c:\windows\system\drivers\npf.sys
下载http://66.117.6.174/dll/npf.sys -> c:\windows\system\drivers\npf.sys
下载http://66.117.6.174/dll/wpcap.dll -> c:\windows\system\wpcap.dll
下载http://66.117.6.174/dll/npptools.dll -> c:\windows\system\npptools.dll
下载http://66.117.6.174/dll/packet.dll -> c:\windows\system\packet.dll
上述文件均为winpcap产品中的dll文件.
2. 解析http://66.117.6.174/update.txt下载执行指定文件:
其中msinfo.exe为扫描暴破模块。
3. 创建名为xwinwpdsrv的服务并启动(该服务为攻击扫描模块), 参数为c:\windows\system\msinfo.exe -s syn 1000意思为使用tcp_syn扫描,最大扫描线程数1000
1. 网络扫描并将扫描结果记录, 代码修改自https://github.com/robertdavidgraham/masscan, 用于扫描内外网ip指定端口是否开放, 端口包括22(ssh), 23(telnet), 80(http), 135(rpc), 445(局域网共享等), 1433(sqlserver), 3306(mysql), 3389(rdp)等.
2. 根据cc下发的密码及配置文件, 对上一步结果记录进行暴破入侵
3. 下载漏洞攻击模块并运行
1. 本地文件目录的隐藏, 访问权限的设置
2. 创建wmi事件订阅以实现持久化下载下一阶段负载
3. 本地一些清理工作
1. 创建管理员用户
2. 创建wmi事件订阅以实现持久化下载下一阶段负载
5 应对措施及建议
1. 安装江民杀毒软件并保证病毒库更新, 打开安全监控等。
2. 及时更新操作系统, 安装补丁。
3. 计算机应设置强登陆口令, 避免暴力破解。
4. 登陆口令应做到两两不同, 避免由于其他因素导致的口令泄露影响到本机安全. 特别注意到, up.txt此病毒会收集本机的所有账户口令上传到cc服务器, 故已经被感染的机器在清除病毒后应重设所有口令且口令不应与统一域内任何机器的口令重复。