pcshare——PCShare和gh0st

1 概述

近期，江民赤豹安全实验室追踪到Mykings黑客组织开启了新一轮挖矿僵尸网络攻击，操纵者利用不同技术感染机器，此次主要利用了暗云Ⅲbookit为起点感染了超过6500台主机，挖矿使用新的钱包收益已超过75万人民币，并且仍每天以约10个XMR的速度挖掘。该系列病毒为Mykings团伙(又称”隐匿者”)所编写,主要功能包括挖矿,攻击扫描,后门驻留,密码窃取,剪贴板劫持,浏览器劫持等,具有强大的传播能力和驻留能力,危害性极大。

2 流程图示

以暗云III Bootkit木马为起点, 流程如下:

从左到右流程简介如下: 首先bootki)会下载一段代码TestMsg[64].tmp执行, 该代码会进行浏览器劫持以及下载u)模块. 后者会进行本地清理以替换旧版本病毒, 同时还会下载64work.rar门罗币挖矿模块, i后门模块以及下一级下载者m. 会有大量的重复感染下载, 除了重复功能, 其他有v.exe(下载器, 下载的模块功能包括剪切板劫持以盗取电子币和在线支付系统转账货币等), m(暴破扫描入侵,以及下载漏洞攻击模块), c(永恒之蓝等系列ms17010漏洞攻击模块), up.txt(收集本机信息, 包括调用mimikatz收集的本机口令等)。该过程大量地进行冗余感染, 以求保存病毒。

3 文件简介

(一) max.exe

该程序为一款基于MBR的BOOTKIT病毒, 通过启动过程中HOOK系统执行流程以实现自身代码执行。 它会对抗安全软件, 注入系统进程, 从网络下载代码及文件并执行。详细分析报告见[Trojan.DarkGalaxy.b分析报告]

(二) u(由(一)下载执行)

该程序为一款下载器, 会下载挖矿模块,下一级下载器等, 还会进行后续的冗余感染以对抗查杀, 并根据云端配置文件查杀本地进程和文件以对抗竞争对手或清理旧版病毒。详细分析报告见[Trojan.Miner.gda分析报告]

(三) m(由(二)下载执行)

该程序的主要功能包括:

1. 删除系统账户

2. 停止,启动相应服务

3. 隐藏文件, 删除文件

4. 结束进程

5. 设置文件,目录访问权限

6. 通过计划任务,注册表及WMI事件订阅实现持久化和下阶段负载传递

7. 设置防火墙规则, 加固本机

8. 运行i后门

(四) i(由(二)下载, 由(三)执行)

本模块修改自, 主要用作后门功能, 支持远程桌面、远程终端、远程文件管理、远程音频视频控制、远程鼠标键盘控制、键盘记录、远程进程管理、远程注册表管理、远程服务管理、远程窗口管理等功能. 远程控制端地址为192.187.111.66:6666

(五) v.exe(由(三)-6下载执行)

此程序主要功能为下载4个程序并执行:

1. -> $TEMP\bu

2. -> $TEMP\docv8k.exe

3. -> $TEMP\d

4. -> $TEMP\

由于连接失效, 无法得到这四个文件。 但通过搜索, 发现bu应该是剪切板劫持程序, 用于替换钱包中各种电子货币钱包地址以及在线支付系统的卡号。

(六) S.ps1(由(三)-6下载执行)

功能包括:

1. 结束名为或con但映像路径并非在%windir%\system32或%windir%\syswow64下的进程

2. 启动c:\windows\temp\con, 此文件即为(二)步中u

(七) s.txt(由(三)-6下载执行)

功能包括:

1. 从读取数据, 该数据为要结束的进程列表以及是否删除进程主EXE文件, 解析后进行操作。

2. 删除名为”fuckyoumm2_consumer”的WMI consumer及名为” fuckyoumm2_filter”的WMI filter

3. 下载执行ps脚本

(八) up.txt(由(七)-3下载执行)

功能主要为收集本机信息并上传, 收集的信息包括:

1. 访问得到本机外网IP

2. 当前运行进程主映像路径及命令行参数

3. 操作系统版本

4. 内存容量

5. 处理器利用率

6. 调用收集而来的用户名,密码,域名等信息上传方式为, 通过ftp:// 192.187.111.66:21以账户名up密码1433将文件上传。

(九) s.jpg(由(三)-6下载执行)

功能包括:

1. 得到本机系统信息并输出到当前目录下文件c.txt

2. 结束进程

3. 隐藏文件, 删除文件, 设置文件访问权限

4. 设置防火墙规则, 加固本机

(十) u.exe(由(七)-3下载执行)

功能包括:

1. 下载文件到指定目录以备后续使用:

下载 -> c:\windows\system\Drivers\n

下载http://66.117.6.174/dll/n -> c:\windows\system\Drivers\n

下载 -> c:\windows\system\w

下载 -> c:\windows\system\n

下载 -> c:\windows\system\

上述文件均为winpcap产品中的dll文件.

2. 解析下载执行指定文件:

其中m为扫描暴破模块。

3. 创建名为xWinWpdSrv的服务并启动(该服务为攻击扫描模块), 参数为c:\windows\system\m -s syn 1000意思为使用TCP_SYN扫描,最大扫描线程数1000

(十一) m(由(十)-2下载执行)

此模块的功能包括:

1. 网络扫描并将扫描结果记录, 代码修改自, 用于扫描内外网ip指定端口是否开放, 端口包括22(ssh), 23(telnet), 80(HTTP), 135(RPC), 445(局域网共享等), 1433(SQLSERVER), 3306(MYSQL), 3389(RDP)等.

2. 根据CC下发的密码及配置文件, 对上一步结果记录进行暴破入侵

3. 下载漏洞攻击模块并运行

(十二) my1.bat(由(十)-2下载执行)

此模块功能包括:

1. 本地文件目录的隐藏, 访问权限的设置

2. 创建WMI事件订阅以实现持久化下载下一阶段负载

3. 本地一些清理工作

(十三) c(由(十二)-3下载执行)

该模块为py打包的Ms17010系列漏洞攻击模块, 攻击代码由 修改而来, 攻击成功后执行的操作为:

1. 创建管理员用户

2. 创建WMI事件订阅以实现持久化下载下一阶段负载

5 应对措施及建议

1. 安装江民杀毒软件并保证病毒库更新, 打开安全监控等。

2. 及时更新操作系统, 安装补丁。

3. 计算机应设置强登陆口令, 避免暴力破解。

4. 登陆口令应做到两两不同, 避免由于其他因素导致的口令泄露影响到本机安全. 特别注意到, up.txt此病毒会收集本机的所有账户口令上传到CC服务器, 故已经被感染的机器在清除病毒后应重设所有口令且口令不应与统一域内任何机器的口令重复。