MyKings殭屍網絡的新動向:利用NSIS腳本挖門羅幣

0x1 概述
近期騰訊安全御見威脅情報中心監測到Mykings殭屍網絡開始傳播新型挖礦木馬，該木馬利用NSIS的插件和腳本功能實現了挖礦木馬的執行、更新和寫入啟動項，同時還具備通過SMB爆破進行區域網傳播的能力，因此騰訊御見威脅情報中心將其命名為NSISMiner。

Mykings殭屍網絡2017 年 2月左右開始出現，該殭屍網絡通過掃描網際網路上 1433 及其他多個埠滲透進入受害者主機，然後傳播包括 DDoS、Proxy、RAT、Miner 在內的多種不同用途的惡意代碼。

MyKings殭屍網絡此次傳播的惡意代碼在挖礦的同時進行SMB爆破，使得其內網擴散威力進一步增強。多家安全廠商評估認為MyKings殭屍網絡主動擴散的能力較強，影響範圍較廣，對企業用戶危害嚴重。

0x2 樣本分析
通過殭屍網絡下載的king.exe是NSIS包文件，運行時通過.nsi腳本代碼下載hxxp://kr1s.ru/doc.dat到Temp目錄保存為doc.exe並執行。doc.exe也是一個NSIS文件，運行時通過.nsi腳本執行自身文件中包含的NsCpuCNMiner*.exe進行挖礦，同時通過SMB爆破將doc.exe感染到更多的內網機器進行挖礦攻擊。

NSISMiner執行流程

0x2.1 king.exe分析
Mykings殭屍網絡在受害主機上通過白利用Regsvr32.exe執行腳本js.myking.pw:280/v.sct，該腳本下載king.dat然後保存為king.exe並執行。

用7z程序查看king.dat文件目錄

King.exe文件首先通過nsis腳本中的插件inetc.dll下載doc.exe文件放在temp目錄中，然後執行該文件。
 

0x2.2 doc.exe分析
用7z程序查看doc.dat文件目錄

doc.exe的nsi腳本拷貝自身到$APPDATA\Temps\DOC001.exe並執行。

然後清除了註冊表中的兩個啟動項，刪除三個名為IMG00.exe的文件，疑是版本更新。然後在啟動目錄創建DOC001.exe的快捷方式，用於開機啟動。

然後腳本根據系統版本，執行NSIS文件$R9目錄中x86或者x64的XMR挖礦程序，

參數：-o stratum+tcp://xmr-eu2.nanopool.org:14444 -t 1 -u 41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNfiCW7xghhbKZV6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2/21 -p x

在礦池中查詢該錢包地址，發現該錢包從二月份至五月份總共挖了72.067204536923 個門羅幣，約為72752人民幣。（賺的真少啊，病毒挖礦想發財也不容易^_^）

利用arp -a 和 net view獲取區域網主機信息，再使用net use進行帳號密碼猜解，成功後，將自身複製到可遠程訪問和自啟動位置，從而在區域網中傳播doc.exe文件。

arp –a命令查看區域網IP

木馬嘗試對區域網主機攻擊時的流量抓包

0x2.3 java.exe分析
判斷是否存在java.exe，不存在則從http://kr1s.ru/java.dat中下載並重命名為java.exe

該文件如果用WinRar打開則正常顯示1.avi，但在腳本執行該文件時加了參數-pJavajre_set7z後，解壓出了四個文件，一個nsis腳本文件，兩個數據文件，一個空文件，

然後jar2.exe中的nsis腳本會將jare.7z1和temps.7z1數據合併成另一個挖礦exe文件，寫到目錄$APPDATA\dhelper.exe中，並且將該文件寫入啟動項Software\Microsoft\Windows NT\CurrentVersion\Winlogon中，

0x3 溯源分析
通過騰訊御見威脅情報中心查詢域名mykings.pw可以在威脅情報事件中關聯到mykings殭屍網絡。

查詢NSISMiner挖礦木馬使用的域名kr1s.ru，發現其創建時間為2018.03.17，相對於mykings殭屍網絡來說，此域名啟用時間較晚。

0x4 安全建議
騰訊御見威脅情報中心提醒用戶注意以下幾點：
1、關閉不必要的埠，方法可參考：https://guanjia.qq.com/web_clinic/s8/585.html；
3、建議區域網用戶切勿使用弱口令，防止病毒通過smb暴力破解在區域網內主動擴散；
3、推薦企業用戶使用騰訊御點保護終端電腦不被入侵。（下載地址：https://s.tencent.com/product/yd/index.html）
4、個人用戶可使用騰訊電腦管家，攔截可能的病毒攻擊。

0x5 IOCs
礦池：
xmr-eu2.nanopool.org:14444

錢包地址：
41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNfiCW7xghhbKZV6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2

url:
hxxp://js.mykings.pw:280/v.sct
hxxp://js.mys2016.info:280/v.sct
hxxp://kr1s.ru/doc.dat
hxxp://kr1s.ru/tess.html
hxxp://kr1s.ru/test.html
hxxp://kr1s.ru/java.dat

MD5：
e0b26bbbb4c5c15db0db0b84080330aa
a3c809115083320fb77a560b851c3e92
c5535409ed97cb0c483cd7c31cdf973d
6d068eb74f288b66b9bcef8936d77fbe
f96f359f5bcd94314ccaa6667a3c99ab
d4cf15a0baab5256bdccbd917e2dfe7c
a8a6065fad97291d894389731f4ec25c
a15585b1e9e8acc79b4391e3001ebcb2
f3d37b8ae207153fc44def1b0e318c97
505b0e3b47c849fdf621d35b220d11ea
47e707ae378d08d18541383d6be9f14b
3ee57ba3c9d5cd49eaeffb20abc6225f
fcca0db3248da08e25295c5729012394
1b90de035e31d41f9c135759ff6ce876
f1d2942fa19e33e7320933f7aad0f1a5
cc4793abc47de8bf122fa15b096c6b59
f1db25aa1a700be143c6e591bbe2cac9
c857547143c14484ebab70ad85a4b409
7510855e6351f2eddd1033f853bebda6
e6b27bd1c60ba8cdffa4058ab19b600e
d8243dd82905899239f637a89bef9af5
d1b58b1fdc3f3ae36ffe7050ddeb077f
724a415b1ed47d93945606ca5f58202d
f06822014a27a9ddf43d70c2a5c80062
b30f3fff4a636cc108b1e1fec7e211da
0d1714c0bb4f5eee15f757c61e9bb680

了解騰訊企業級安全產品

騰訊御見威脅情報中心誠邀各路英豪加盟

安全應急求助，請聯繫騰訊管家