门罗币 僵尸网络 MyKing
【微步在线报告】MyKing黑产团伙最新挖矿活动曝光
微步情报局 2018-12-03 11:35:09 1690人浏览

TAG:MyKing、僵尸网络、门罗币、挖矿、远控木马

TLP:白 (对报告转发及使用不受限制) 

日期:2018-11-14

概要

近日,微步在线威胁情报云平台捕获了一个功能丰富的恶意软件下载程序,可流程化下载执行挖矿、远程控制、长期驻留等多个模块,能够实现对被控主机最大程度的控制利用,具备僵尸网络特征,经分析主要发现包括:

➢ 恶意下载程序开发于 2018 年 10 月,可通过新近部署的域名和多个境外 IP 的实现恶意程序的下载分发,具有成熟的攻击架构规划。

➢ 攻击中使用了一款最新开发的远程控制类木马 DiskWrite,可实现对目标的长期控制和信息窃取等恶意功能。

➢ 此次攻击活动短短一个多月时间已经非法获取“门罗币”上百枚,并曾于 11 月 1 日至 11日期间发起过大范围的传播扩散活动。

➢ 攻击中使用 IP 地址与 Myking 团伙1基础设施存在重叠,且攻击目的、方式一致,因此判断幕后攻击者即 Myking。 

详情

近日,微步在线威胁情报云平台捕获了一个名为“conhost.exe”的可疑样本,该程序可从内嵌URL获取恶意木马存放服务器地址,并分阶段下载执行后续恶意代码,为一款典型的木马下载器(Downloader)。监测发现,该样本相关链接自2018年10月以来一直处于活跃状态,且涉及挖矿、远程控制、长期驻留等多个模块,对互联网设备危害巨大。 

样本分析

本报告分析的样本捕获于2018年11月,基本信息如下表所示: 

文件类型 PE32 executable (console) Intel 80386, for MS Windows
文件大小 2007552B
MD5 e8c1137f4fccecdf4aff8ad9f706c510
SHA1 725d496c7a987e31075e4fcb1d143461f346d92a
SHA256 a0807bb891deeaa2ccc383c823b85aadac44fc39dbbb33ab2f560e6ce308412d
时间戳 2018-10-27 21:36:13
涉及URL http://ok.xmr6b.ru/ok/down.htmlhttp://ok.xmr6b.ru/ok/64.html

分析发现该程序涉及的恶意代码架构如下图所示: 

image.png

图 1 僵尸网络架构

该图的具体流程包括:

1、攻击者利用漏洞(如“永恒之蓝”)或暴力破解等方式入侵Windows系统后,会植入木马下载器conhost.exe(或ups.exe),该程序启动后会首先访问恶意链接http://ok.xmr6b.ru/ok/down.html和http://ok.xmr6b.ru/ok/64.html以获取第二阶段恶意代码的下载地址(当前均为174.128.239.250)。 

image.png

图 2 down.html

image.png

图 3 64.html

2、分别从174.128.239.250下载64.rar、kill.txt以及down.txt等文件。其中,64.rar和kill.txt为挖矿相关工具,down.txt为远控木马组件下载地址列表,包括down.exe、item.dll和b.exe。 

image.png

图 4 Kill.txt 

image.png

图 5down.txt 

3、为了独自侵占受感染设备的计算资源,恶意程序会对系统进行一次常规木马进程清除,以排除竞争干扰,kill.txt文件即该僵尸网络的清除列表,包括了常见的挖矿木马和被感染的进程。 

4、64.rar包含了lsmose.exe、xmrstak_cuda_backend.dll、xmrstak_opencl_backend.dll等文件,主要用于实现“门罗币”挖矿活动,其使用的公有矿池为pool.minexmr.com:5555,钱包账户为4862mTLmCo9LGqn3XUrV9xaEfzgNPid7AM26XpeWWm4nfEtPfV9Eb1k2xYaYWRyM6LYETJkF3RCqF5JX5dQWEi3hNNE36C6。 

image.png

图 6 登录矿池挖矿 

5、b.exe主要功能是实现清除可疑木马进程和启动DiskWriter远控木马item.dll。 

image.png

图 7 启动 DiskWriter 远控木马 

6、item.dll是该团伙最新开发的远程控制类木马DiskWrite,其核心功能模块集成在ServiceMain中,可实现与C&C(pc.pc0416.xyz:5566)进行远程通信并执行控制命令,包括:文件操作,键盘记录,远程桌面控制等。该通信过程使用了亦或算法实现数据加密传输。 

image.png

图 8 首包解密信息 

该僵尸网络架构设置了多层连接和跳转,看似繁琐复杂,但在实际操作中可方便管理大量受控主机,比如可通过修改64.rar完成对挖矿业务的更新,修改down.txt可实现对远控木马的更新,其攻击架构规划和攻击流程已经较为成熟完善。 

关联分析

通过微步在线追踪溯源系统对木马 C&C 地址 pc.pc0416.xyz 分析发现,关联 IP 及域名中出现了大量 Myking 团伙的网络资产,包括 oo000oo.club、mysking.info、5b6b7b.info、mys2018.xyz 等,此外还关联出 kill0604.ru、twbuy.tw、upme0611.info 等其他可疑域名,经核实均属Myking 团伙最新使用的网络资产。 

image.png

图 9 pc.pc0416.xyz 关联分析图

对 Myking 团伙木马中使用的钱包账户查询发现,该地址自 10 月 9 日开始出现收益,截至 11 月 15 日已经累积获取门罗币 126 个,约合 9 万元人民币(2018 年 11 月 14 日)。 

image.png

图 10 挖矿钱包累积收益

 image.png

图 11 僵尸网络计算能力与收益统计

通过该钱包地址在挖矿平台收益发现,该僵尸网络的算力在11月1日至9日期间出现大幅上涨的现象,判断在此期间发起过一次大范围攻击活动。

威胁指标(IOC)
alsn 2018-12-17 22:52:09 回复
3417886755 2018-12-05 17:17:17 回复
挖来挖去的
今日推荐