威胁研究正文

Mykings僵尸网络新变动:传播NSISMiner新版挖矿木马

2019-03-06 09:31:43

Myking僵尸网络新变动:基础设施更新、挖矿木马传播量快速增长

一、概述

MyKings僵尸网络20172月左右出现的大型僵尸网络,通过扫描互联网上1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoSProxyRAT(远程控制木马)、Miner(挖矿木马)在内的多种不同用途的恶意代码。

20185月份,腾讯安全御见威胁情报中心监测到MyKings僵尸网络开始传播新型挖矿木马,木马利用NSIS的插件和脚本功能实现挖矿木马的执行、更新和写入启动项,同时还具备通过SMB爆破进行局域网传播的能力,御见威胁情报中心将其命名为NSISMiner

201810月,新增钱包地址劫持模块buff2.exe,检测剪切板内容中的比特币、门罗币、以太坊等25种数字加密货币钱包地址、和电子支付系统(WebMoneyYandexMoneysteam)相关卡号,并将其替换为黑客的钱包地址和卡号,盗取收益。这一特性对比特币矿工及炒币玩家危害极大,因为敲击键盘输入一长串地址,很难保证不出错,复制剪贴是最常用的操作。

最近,腾讯安全御见威胁情报中心监测发现,MyKings僵尸网络已启用新域名传播NSISMiner挖矿木马,该挖矿木马传播量有明显上升。Mykings僵尸网络也启用了新的矿池和钱包地址,新钱包已收益18XMR(门罗币,折合人民币5600)

NSISMiner挖矿木马近期传播趋势明显上升

Mykings僵尸网络团伙家谱

二、详细分析

NSISMiner本次升级特点:

1、启用新的域名,同时更换了文件名,文件功能及触发流程没有明显变化。


2、更新了矿池及钱包信息,从旧的nanopool矿池迁移到supportxmr


新增一个钱包地址


nanpopool矿池结算信息看,该木马在去年11月份停用这个矿池,当时总收益为363.40XMR


新矿池supportxmr启用后,目前已经挖了18XMR(门罗币)。


3、更新了劫持剪切板功能,盗取数字加密货币、WebMoneyYandexMoneysteam充值信息等、木马添加计划任务,每隔1小时启动一次,通过正则表达式匹配剪切板内容,匹配比特币、门罗币、以太坊等25种数字加密货币钱包地址



用于转账的黑客钱包被加密存储在PE中,且每次获取剪切板数据后才会动态解密一次,解密算法是把密文-1


命中钱包地址则替换为黑客的钱包地址


部分黑客钱包地址,大部分钱包余额为0


黑客的BTC账户已经收到0.39枚,按现在价格价值约1RMB

同时木马会劫持5WebMoneyWM)币种


WebMoney1998WebMoney Transfer Techology公司开发的一种在线电子商务支付系统


木马内部也使用了正则去匹配这些WebMoney币种


木马也会劫持YandexMoney钱包,YandexMoney是俄罗斯Yandex旗下的电子支付工具,第二大支付公司,提供了虚拟信用卡功能,正则匹配Yandex虚拟卡号并替换为黑客的卡号。


该版本木马保留了局域网爆破功能,利用arp -a net view获取局域网主机信息,再使用net use进行帐号密码猜解,成功后,将自身复制到可远程访问和自启动位置,从而在局域网中传播木马。

三、安全建议

MyKings僵尸网络此次传播的恶意代码在挖矿的同时进行SMB爆破,使得其内网扩散威力进一步增强,影响范围较广,对企业用户危害严重,腾讯御见威胁情报中心提醒用户注意以下几点:

1. 关闭不必要的端口,方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html

2. 建议局域网用户切勿使用弱口令,防止病毒通过SMB暴力破解在局域网内主动扩散;

3. 推荐企业用户使用御点终端安全管理系统保护电脑安全(下载地址:https://s.tencent.com/product/yd/index.html


4. 推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html


5. 中毒电脑除可使用腾讯电脑管家、腾讯御点终端防御系统查杀病毒,也可参考以下提示手动清理:

删除文件

C:\Users\***\AppData\Roaming\TempoR\DOC001.exe

C:\Users\***\AppData\Roaming\TempoR\NsCpuCNMiner32.exe

C:\Users\***\AppData\Roaming\TempoR\NsCpuCNMiner64.exe

C:\Users\***\AppData\Roaming\Tempo\DOC001.exe

C:\Users\***\AppData\Roaming\Tempo\NsCpuCNMiner32.exe

C:\Users\***\AppData\Roaming\Tempo\NsCpuCNMiner64.exe

C:\ProgramData\[GUID]\lsm.exe

C:\Users\***\Appdata\Roaming\adobe\x64e\amd\dether.exe

C:\Users\***\AppData\Roaming\dhelper.exe

C:\Users\***\AppData\Roaming\cppredistx86.exe

C:\Windows\Temp\doc.exe

C:\Windows\Temp\name.exe

C:\Windows\Temp\name2.exe

C:\Windows\Temp\java.exe

C:\Windows\Temp\java13.exe

C:\Windows\Temp\dhelper.exe

C:\Windows\Temp\docv8k.exe

C:\Windows\Temp\buff2.exe

删除注册表:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell

(启动文件:C:\Users\***\AppData\Roaming\dhelper.exe)

删除开始菜单启动项explorer.lnk

(启动文件C:\Users\***\AppData\Roaming\TempoR\DOC001.exe)

删除计划任务Microsoft LocalManager

(启动文件:C:\ProgramData\[GUID]\lsm.exe)

IOCs

钱包地址:

虚拟币

钱包地址

XMR

41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNfiCW7xghhbKZV6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2

XMR

448FWFsUhMdhhnGo3Yw7N547dg2XyLPXEWvMZEC4yCVMYLxBAZbLzVwLvSAZJKsWYgLCm4cB2q8Vjg1YwKkcDUYyAGgQmuR

BTC

12cZKjNqqxcFovghD5N7fgPNMLFZeLZc3u

BlackCoin

JDi6PaWXd3yQ167tqShDxZcLEx3aRRSii

EmerCoin

EVRzjX4wpeb9Ys6i1LFcZyTkEQvV9Eo2Wk

ReddCoin

QrKfx3qsqaMQUVHx8yAd1aTHHRdjP6Tg

Bytecoin

12cZKjNqqxcFovghD5N7fgPNMLFZeLZc3u

Bitcoincash

qrfdnklvpgmh94dycdsp68qd6nf9fk8vlsr24n2mcp

Ripple

rNoeET6PH5dkf1VVvuUc2eZYap9yDZiKTm

Dogecoin

D6nziu2uAoiWvdjRYRPH7kedgzh56Xkjjv

Dash

Xup4gBGLZLDi9J9VbcLuRHGKDXaUjwMoZV

Ethereum

0x039fd537a61e4a7f28e43740fe29ac84443366f6

LiteCoin

LUfdGb4pCzTAq9wucRpZZgCF69QHpAgvfE

Zicash

t1JjREG9k58srT42KitRp3GyMBm2x4B889o

Neo

AKY1itrWtsmziQhg2THDcR3oJhXsVLRxM7

Electroneum

0x6a1A2C1081310a237Cd328B5d7e702CB80Bd2078

Miota

SVEBXIOJELVYBRULCLMQUYFHCPNJ9TWRDMFWMEDBEOQRO9MBO9VXMXYEBV9NUVFGGQDRDFUSKOQHOYFBWGXDKTGSDB

Cardano

DdzFFzCqrht9wkicvUx4Hc4W9gjCbx1sjsWAie5zLHo2K2R42y2zvA7W9S9dM9bCHE7xtpNriy1EpE5xwv7mPuSjhP4FyB9Z1ra6Ge3y

Lisk

7117094708328086084L

Stratis

SPLfNnmUdqmYu1FH2qMcGiU7P8Mwf9Z3Kr

Waves

3PAFMSCjWpf5WDxkkECMmwqkZGHySgpuzEo

Qtum

QNkbMtCmWSCFS1U63PcAxhKufLvEwSsJ8t

Stellar

GBJOA4BNCXBSYG3ZVU2GXNOOA2JJLCG4JIVNEINHQIZNVMX4SSH5LLK7

ViaCoin

VhGTEsM6ewqNBJwDEB2o6bHvRqFdGqu5HM

Graft

G4qyAXyftgpRW4idTMWA7e7QnSN6DKUeGcbcqAQra3c46JRuYdzTRxwVAGYRCK9U5WLncok7Loni73sm1TaWhbQ1DnAJKx5

Domain

f321y.com

js.oo000oo.club

js.mykings.pw

rucop.ru

kriso.ru

url:

hxxp://f321y.com:8888/name2.rar

hxxp://f321y.com:8888/dhelper.dat

hxxp://f321y.com:8888/buff2.dat

hxxp://f321y.com:8888/docv8k.dat

hxxp://f321y.com:8888/v.dat

hxxp://js.mys2016.info:280/v.sct

hxxp://js.oo000oo.club:280/v.sct

hxxp://js.mykings.pw:280/v.sct

hxxp://rucop.ru/java.dat

hxxp://rucop.ru/java1.dat

hxxp://rucop.ru/tess8.html

hxxp://kriso.ru/java13.dat

hxxp://kriso.ru/tess8.html

hxxp://kriso.ru/java12.dat

MD5

0eac66bb3defaa36ec657e90218a442b

14ec03d49a0457377cd2b4f3a707d6eb

4df2172328f6e20b363351323053e66b

54fd6a7dfa99dd30de2c4bd29de00eaa

72ab701a0c7edf6a4bd655637cf12561

9da6968a32db144b6b44211c14987b8f

c464c22ed4c9216c9d03c3df0fcc2a8f

c475245414cb4e1a7368269eb239a8c1

c5535409ed97cb0c483cd7c31cdf973d

c720ac483a5752c2b69945a8ad673162

d41d8cd98f00b204e9800998ecf8427e

df11b3105df8d7c70e7b501e210e3cc3

e6c0bbd63d7a40f9548aa4cf00f04ae7

f5d948692cc754502f3cba649d60ba00

参考链接

MyKings僵尸网络的新动向:利用NSIS脚本挖门罗币

https://s.tencent.com/research/report/483.html

矿池:

pool.supportxmr.com:5555

pool.supportxmr.com:3333

在线咨询

方案定制