产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
Mykings僵尸网络新变动:传播NSISMiner新版挖矿木马
2019-03-06 09:31:43
一、概述
MyKings僵尸网络2017年2月左右出现的大型僵尸网络,通过扫描互联网上1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy、RAT(远程控制木马)、Miner(挖矿木马)在内的多种不同用途的恶意代码。
2018年5月份,腾讯安全御见威胁情报中心监测到MyKings僵尸网络开始传播新型挖矿木马,木马利用NSIS的插件和脚本功能实现挖矿木马的执行、更新和写入启动项,同时还具备通过SMB爆破进行局域网传播的能力,御见威胁情报中心将其命名为NSISMiner。
2018年10月,新增钱包地址劫持模块buff2.exe,检测剪切板内容中的比特币、门罗币、以太坊等25种数字加密货币钱包地址、和电子支付系统(WebMoney、YandexMoney、steam)相关卡号,并将其替换为黑客的钱包地址和卡号,盗取收益。这一特性对比特币矿工及炒币玩家危害极大,因为敲击键盘输入一长串地址,很难保证不出错,复制剪贴是最常用的操作。
最近,腾讯安全御见威胁情报中心监测发现,MyKings僵尸网络已启用新域名传播NSISMiner挖矿木马,该挖矿木马传播量有明显上升。Mykings僵尸网络也启用了新的矿池和钱包地址,新钱包已收益18个XMR(门罗币,折合人民币5600元)。
NSISMiner挖矿木马近期传播趋势明显上升
Mykings僵尸网络团伙家谱
二、详细分析
NSISMiner本次升级特点:
1、启用新的域名,同时更换了文件名,文件功能及触发流程没有明显变化。
2、更新了矿池及钱包信息,从旧的nanopool矿池迁移到supportxmr
新增一个钱包地址
从nanpopool矿池结算信息看,该木马在去年11月份停用这个矿池,当时总收益为363.40XMR。
新矿池supportxmr启用后,目前已经挖了18个XMR(门罗币)。
3、更新了劫持剪切板功能,盗取数字加密货币、WebMoney、YandexMoney、steam充值信息等、木马添加计划任务,每隔1小时启动一次,通过正则表达式匹配剪切板内容,匹配比特币、门罗币、以太坊等25种数字加密货币钱包地址
用于转账的黑客钱包被加密存储在PE中,且每次获取剪切板数据后才会动态解密一次,解密算法是把密文-1
命中钱包地址则替换为黑客的钱包地址
部分黑客钱包地址,大部分钱包余额为0。
黑客的BTC账户已经收到0.39枚,按现在价格价值约1万RMB
同时木马会劫持5种WebMoney(WM)币种
WebMoney是1998年WebMoney Transfer Techology公司开发的一种在线电子商务支付系统
木马内部也使用了正则去匹配这些WebMoney币种
木马也会劫持YandexMoney钱包,YandexMoney是俄罗斯Yandex旗下的电子支付工具,第二大支付公司,提供了虚拟信用卡功能,正则匹配Yandex虚拟卡号并替换为黑客的卡号。
该版本木马保留了局域网爆破功能,利用arp -a 和 net view获取局域网主机信息,再使用net use进行帐号密码猜解,成功后,将自身复制到可远程访问和自启动位置,从而在局域网中传播木马。
三、安全建议
MyKings僵尸网络此次传播的恶意代码在挖矿的同时进行SMB爆破,使得其内网扩散威力进一步增强,影响范围较广,对企业用户危害严重,腾讯御见威胁情报中心提醒用户注意以下几点:
1. 关闭不必要的端口,方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html;
2. 建议局域网用户切勿使用弱口令,防止病毒通过SMB暴力破解在局域网内主动扩散;
3. 推荐企业用户使用御点终端安全管理系统保护电脑安全(下载地址:https://s.tencent.com/product/yd/index.html)
4. 推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)
5. 中毒电脑除可使用腾讯电脑管家、腾讯御点终端防御系统查杀病毒,也可参考以下提示手动清理:
删除文件
C:\Users\***\AppData\Roaming\TempoR\DOC001.exe
C:\Users\***\AppData\Roaming\TempoR\NsCpuCNMiner32.exe
C:\Users\***\AppData\Roaming\TempoR\NsCpuCNMiner64.exe
C:\Users\***\AppData\Roaming\Tempo\DOC001.exe
C:\Users\***\AppData\Roaming\Tempo\NsCpuCNMiner32.exe
C:\Users\***\AppData\Roaming\Tempo\NsCpuCNMiner64.exe
C:\ProgramData\[GUID]\lsm.exe
C:\Users\***\Appdata\Roaming\adobe\x64e\amd\dether.exe
C:\Users\***\AppData\Roaming\dhelper.exe
C:\Users\***\AppData\Roaming\cppredistx86.exe
C:\Windows\Temp\doc.exe
C:\Windows\Temp\name.exe
C:\Windows\Temp\name2.exe
C:\Windows\Temp\java.exe
C:\Windows\Temp\java13.exe
C:\Windows\Temp\dhelper.exe
C:\Windows\Temp\docv8k.exe
C:\Windows\Temp\buff2.exe
删除注册表:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\shell
(启动文件:C:\Users\***\AppData\Roaming\dhelper.exe)
删除开始菜单启动项explorer.lnk
(启动文件C:\Users\***\AppData\Roaming\TempoR\DOC001.exe)
删除计划任务Microsoft LocalManager
(启动文件:C:\ProgramData\[GUID]\lsm.exe)
IOCs
钱包地址:
虚拟币 |
钱包地址 |
XMR |
41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNfiCW7xghhbKZV6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2 |
XMR |
448FWFsUhMdhhnGo3Yw7N547dg2XyLPXEWvMZEC4yCVMYLxBAZbLzVwLvSAZJKsWYgLCm4cB2q8Vjg1YwKkcDUYyAGgQmuR |
BTC |
12cZKjNqqxcFovghD5N7fgPNMLFZeLZc3u |
BlackCoin |
JDi6PaWXd3yQ167tqShDxZcLEx3aRRSii |
EmerCoin |
EVRzjX4wpeb9Ys6i1LFcZyTkEQvV9Eo2Wk |
ReddCoin |
QrKfx3qsqaMQUVHx8yAd1aTHHRdjP6Tg |
Bytecoin |
12cZKjNqqxcFovghD5N7fgPNMLFZeLZc3u |
Bitcoincash |
qrfdnklvpgmh94dycdsp68qd6nf9fk8vlsr24n2mcp |
Ripple |
rNoeET6PH5dkf1VVvuUc2eZYap9yDZiKTm |
Dogecoin |
D6nziu2uAoiWvdjRYRPH7kedgzh56Xkjjv |
Dash |
Xup4gBGLZLDi9J9VbcLuRHGKDXaUjwMoZV |
Ethereum |
0x039fd537a61e4a7f28e43740fe29ac84443366f6 |
LiteCoin |
LUfdGb4pCzTAq9wucRpZZgCF69QHpAgvfE |
Zicash |
t1JjREG9k58srT42KitRp3GyMBm2x4B889o |
Neo |
AKY1itrWtsmziQhg2THDcR3oJhXsVLRxM7 |
Electroneum |
0x6a1A2C1081310a237Cd328B5d7e702CB80Bd2078 |
Miota |
SVEBXIOJELVYBRULCLMQUYFHCPNJ9TWRDMFWMEDBEOQRO9MBO9VXMXYEBV9NUVFGGQDRDFUSKOQHOYFBWGXDKTGSDB |
Cardano |
DdzFFzCqrht9wkicvUx4Hc4W9gjCbx1sjsWAie5zLHo2K2R42y2zvA7W9S9dM9bCHE7xtpNriy1EpE5xwv7mPuSjhP4FyB9Z1ra6Ge3y |
Lisk |
7117094708328086084L |
Stratis |
SPLfNnmUdqmYu1FH2qMcGiU7P8Mwf9Z3Kr |
Waves |
3PAFMSCjWpf5WDxkkECMmwqkZGHySgpuzEo |
Qtum |
QNkbMtCmWSCFS1U63PcAxhKufLvEwSsJ8t |
Stellar |
GBJOA4BNCXBSYG3ZVU2GXNOOA2JJLCG4JIVNEINHQIZNVMX4SSH5LLK7 |
ViaCoin |
VhGTEsM6ewqNBJwDEB2o6bHvRqFdGqu5HM |
Graft |
G4qyAXyftgpRW4idTMWA7e7QnSN6DKUeGcbcqAQra3c46JRuYdzTRxwVAGYRCK9U5WLncok7Loni73sm1TaWhbQ1DnAJKx5 |
Domain
f321y.com
js.oo000oo.club
js.mykings.pw
rucop.ru
kriso.ru
url:
hxxp://f321y.com:8888/name2.rar
hxxp://f321y.com:8888/dhelper.dat
hxxp://f321y.com:8888/buff2.dat
hxxp://f321y.com:8888/docv8k.dat
hxxp://f321y.com:8888/v.dat
hxxp://js.mys2016.info:280/v.sct
hxxp://js.oo000oo.club:280/v.sct
hxxp://js.mykings.pw:280/v.sct
hxxp://rucop.ru/java.dat
hxxp://rucop.ru/java1.dat
hxxp://rucop.ru/tess8.html
hxxp://kriso.ru/java13.dat
hxxp://kriso.ru/tess8.html
hxxp://kriso.ru/java12.dat
MD5:
0eac66bb3defaa36ec657e90218a442b
14ec03d49a0457377cd2b4f3a707d6eb
4df2172328f6e20b363351323053e66b
54fd6a7dfa99dd30de2c4bd29de00eaa
72ab701a0c7edf6a4bd655637cf12561
9da6968a32db144b6b44211c14987b8f
c464c22ed4c9216c9d03c3df0fcc2a8f
c475245414cb4e1a7368269eb239a8c1
c5535409ed97cb0c483cd7c31cdf973d
c720ac483a5752c2b69945a8ad673162
d41d8cd98f00b204e9800998ecf8427e
df11b3105df8d7c70e7b501e210e3cc3
e6c0bbd63d7a40f9548aa4cf00f04ae7
f5d948692cc754502f3cba649d60ba00
参考链接
MyKings僵尸网络的新动向:利用NSIS脚本挖门罗币
https://s.tencent.com/research/report/483.html
矿池:
pool.supportxmr.com:5555
pool.supportxmr.com:3333
在线咨询
方案定制