产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
MyKings僵尸网络的新动向:利用NSIS脚本挖门罗币
2018-05-31 06:52:58
1、概述
近期腾讯安全御见威胁情报中心监测到MyKings僵尸网络开始传播新型挖矿木马,该木马利用NSIS的插件和脚本功能实现了挖矿木马的执行、更新和写入启动项,同时还具备通过SMB爆破进行局域网传播的能力,御见威胁情报中心将其命名为NSISMiner。
MyKings僵尸网络2017 年 2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy、RAT、Miner 在内的多种不同用途的恶意代码。
MyKings僵尸网络此次传播的恶意代码在挖矿的同时进行SMB爆破,使得其内网扩散威力进一步增强。多家安全厂商评估认为,MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。
2、样本分析
通过僵尸网络下载的king.exe是NSIS包文件,运行时通过.nsi脚本代码下载hxxp://kr1s.ru/doc.dat到Temp目录保存为doc.exe并执行。doc.exe也是一个NSIS文件,运行时通过.nsi脚本执行自身文件中包含的NsCpuCNMiner*.exe进行挖矿,同时通过SMB爆破将doc.exe感染到更多的内网机器进行挖矿攻击。
NSISMiner执行流程
1. king.exe分析
MyKings僵尸网络在受害主机上通过白利用Regsvr32.exe执行脚本js.myking.pw:280/v.sct,该脚本下载king.dat然后保存为king.exe并执行。
用7z程序查看king.dat文件目录
king.exe文件首先通过nsis脚本中的插件inetc.dll下载doc.exe文件放在temp目录中,然后执行该文件。
2. doc.exe分析
用7z程序查看doc.dat文件目录
doc.exe的nsi脚本拷贝自身到$APPDATA\Temps\DOC001.exe并执行。
然后清除了注册表中的两个启动项,删除三个名为IMG00.exe的文件,疑是版本更新。然后在启动目录创建DOC001.exe的快捷方式,用于开机启动。
然后脚本根据系统版本,执行NSIS文件$R9目录中x86或者x64的XMR挖矿程序,
参数:-o stratum+tcp://xmr-eu2.nanopool.org:14444 -t 1 -u 41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNfiCW7xghhbKZV6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2/21 -p x
在矿池中查询该钱包地址,发现该钱包从二月份至五月份总共挖了72.067204536923 个门罗币,约为72752人民币。
利用arp -a 和 net view获取局域网主机信息,再使用net use进行帐号密码猜解,成功后,将自身复制到可远程访问和自启动位置,从而在局域网中传播doc.exe文件。
arp –a命令查看局域网IP
木马尝试对局域网主机攻击时的流量抓包
3. java.exe分析
判断是否存在java.exe,不存在则从http://kr1s.ru/java.dat中下载并重命名为java.exe
该文件如果用WinRar打开则正常显示1.avi,但在脚本执行该文件时加了参数-pJavajre_set7z后,解压出了四个文件,一个nsis脚本文件,两个数据文件,一个空文件。
然后jar2.exe中的nsis脚本会将jare.7z1和temps.7z1数据合并成另一个挖矿exe文件,写到目录$APPDATA\dhelper.exe中,并且将该文件写入启动项Software\Microsoft\Windows NT\CurrentVersion\Winlogon中。
3、溯源分析
通过腾讯御见威胁情报中心查询域名mykings.pw可以在威胁情报事件中关联到MyKings僵尸网络。
查询NSISMiner挖矿木马使用的域名kr1s.ru,发现其创建时间为2018.03.17,相对于MyKings僵尸网络来说,此域名启用时间较晚。
4、安全建议
腾讯御见威胁情报中心提醒用户注意以下几点:
1. 关闭不必要的端口,方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html;
2. 建议局域网用户切勿使用弱口令,防止病毒通过SMB暴力破解在局域网内主动扩散;
3. 推荐企业用户使用御点终端安全管理系统保护电脑安全(下载地址:https://s.tencent.com/product/yd/index.html)
5、IOCs
矿池:
xmr-eu2.nanopool.org:14444
钱包地址:
41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNfiCW7xghhbKZV6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2
url:
hxxp://js.mykings.pw:280/v.sct
hxxp://js.mys2016.info:280/v.sct
hxxp://kr1s.ru/doc.dat
hxxp://kr1s.ru/tess.html
hxxp://kr1s.ru/test.html
hxxp://kr1s.ru/java.dat
MD5:
e0b26bbbb4c5c15db0db0b84080330aa
a3c809115083320fb77a560b851c3e92
c5535409ed97cb0c483cd7c31cdf973d
6d068eb74f288b66b9bcef8936d77fbe
f96f359f5bcd94314ccaa6667a3c99ab
d4cf15a0baab5256bdccbd917e2dfe7c
a8a6065fad97291d894389731f4ec25c
a15585b1e9e8acc79b4391e3001ebcb2
f3d37b8ae207153fc44def1b0e318c97
505b0e3b47c849fdf621d35b220d11ea
47e707ae378d08d18541383d6be9f14b
3ee57ba3c9d5cd49eaeffb20abc6225f
fcca0db3248da08e25295c5729012394
1b90de035e31d41f9c135759ff6ce876
f1d2942fa19e33e7320933f7aad0f1a5
cc4793abc47de8bf122fa15b096c6b59
f1db25aa1a700be143c6e591bbe2cac9
c857547143c14484ebab70ad85a4b409
7510855e6351f2eddd1033f853bebda6
e6b27bd1c60ba8cdffa4058ab19b600e
d8243dd82905899239f637a89bef9af5
d1b58b1fdc3f3ae36ffe7050ddeb077f
724a415b1ed47d93945606ca5f58202d
f06822014a27a9ddf43d70c2a5c80062
b30f3fff4a636cc108b1e1fec7e211da
0d1714c0bb4f5eee15f757c61e9bb680
在线咨询
方案定制