这是由一张图引发的一篇文章，文章主要记录了关于Mykings挖矿的分析和溯源过程，欢迎各位大佬指正。

别的东西说明也没有，有的只是一张图，来看看这神奇的图到底是怎么引起这篇文章的诞生呢。

图中仅有一个域名不过也正是这个域名才有所发现，经访问该域名存活，并且存在相关文件，对所有涉及的数据进行整理后是这个样子的。

其中ups.dat是通过js.1226bye.xyz:280得v.sct脚本内容获取，v.sct的内容如下图所示。

有意思的是ups.dat是一个自解压文件，包含的文件信息如下图。

upx.exe也是采用了同样的方法存储了内部的文件，文件内容如图所示。

最后提取这三个文件，挨个看一看到底是个什么情况。
首先来看一看n.vbs，n.vbs内容相对简单，就是启动位于%temp%目录下的c3.bat，这个%temp%目录是之前自解压设置的目录，其实就是让n.vbs启动c3.bat

接下来看一看c3.bat是个什么情况。
c3.bat相比n.vbs就有所不同了，是一个内容非常复杂的处理脚本。从内容上看像一个清理脚本。

同时还有创建计划Mysa和Mysa2任务等

以及清理相关计划任务的操作。

通过设置自启动来启动后门，下载位于http://js.mys2016.info:280/v1.sct的脚本内容。

可惜的是，这个域名已经失效了，没有更多的信息了。
除此之外还使用wmic下载http://ruisgood.ru域名下的相关文件。

通过ruisgood.ru又找到一些相关联的信息，收集的信息整理如下。

最后看一看excludes，查看内容后发现应该是一个挖矿的配置信息，内容如下图所示。

初步看出这里涉及一个矿池和相关的挖矿账号，应该是一起挖矿事件没错了。
自此，第一天的信息收集基本就到此了。

收到了客户提供的样本，准备开始分析，首先来看看都有些什么文件。
首先有个info和Temp目录，还有一个system目录，不着急，一个一个慢慢看。

首先看看info目录下的文件，包含一个msief.exe，同第一天分析的ups.dat一样，是一个自解压文件，相关信息如图所示。

对比c3.bat，发现这个版本的有所不一样。并且涉及的域名也变化了。

紧接着继续看Temp目录下的文件情况，包含两个文件，一个conhosta.exe和一个conhost.exe，其中conhosta.exe也是一个自解压文件，相关信息如下图所示。

conhost.exe 通过查询到的资料表明，该程序可能是利用了pcshare的源码修改后的程序，主要功能是循环请求C2服务执行更新自身、执行命令、下载“挖矿”软件等。如果是第一次运行，会释放一个xpdown.dat文件，位于C:\Program Files\Common Files目录下。
xpdown.dat的内容是一组ip和域名的集合。

conhosta.exe也是用于释放c3a.bat的，同样的还是看看bat的内容。内容上大同小异，还是有些地方不太一样。

将特殊域名本地化，将内容写入到C:\Windows\System32\drivers\etc\hosts文件中，进行本地解析。

紧接着就是一连串的ip出现，通过这个找到了之后需要的文件。


终于通过c3a.bat里面的power.txt找到一个可用的download.txt，并最终下回来了所有在download中列出来的文件。



其中u.exe主要功能用于设置dns，并修改为223.5.5.5和8.8.8.8

1201.rar就是xmrig挖矿程序，修改文件后缀名为exe，查看属性即可看出该文件的作用，并且修改后缀名后出现了xmrig的图标。

20200510.rar被加壳保护，行为分析时进程直接退出，具体功能暂时不详。

max.exe通过hash，google到了一些相关信息。

最终将其确定为bootkit的安装程序了，之后的部分在详细说明。
g.exe功能未知，没有加壳，google也没有相关联的信息。

最后看下system目录下的文件，开始的时候只有csrs.exe，经过多方面的处理之后提取出相关的资料。

运行后发现有很多跟python相关的文件释放，怀疑是python打包的文件。使用工具提取，确实为python打包。(这里做一个额外的说明，大多数python打包的文件，在执行的时候都会释放一些python相关的文件，可以作为是否是python打包的一个点)

通过相关资料和技术手段，修复pyc头部，并最终反编译得到了原始的py文件，是一个明显利用了ms17010的后门程序。

通过https://img.vim-cn.com/ef/5ab12fdf434f480022a89524ef1f6f97f92786.xml的内容继续寻找，还是找到了一些相关联的东西。

其中ups.rar为之前提及的u.exe，主要用于设置dns。
2.rar和之前的conhosta.exe是同一个文件。所以之前分析的关于conhosta.exe的释放内容完全适用于2.rar。
最后的max.rar，本身被vmp加壳保护，这和之前max.exe文件类似。

并且有相对应的信息

通过google发现，这个就是Mykings中的bootkit工具，来看一看hash的情况，发现两者完全一致。


执行后释放了01.dat和02.dat两个文件，并删除了该文件。

在01.dat中发现了一些和反病毒程序相关的信息。


报告中提及的关于信息

这些信息就是暗藏在01.dat中，通过寻找终于是发现了这两个网址的信息。

同时还有一个TestMsg.tmp和TestMsg64.tmp，用于下载新的文件。由于这里分析的时候没有开启网络连接，所以并没有下载到TestMsg.tmp和TestMsg64.tmp，下图的信息为Mykings中涉及的TestMsg.tmp和TestMsg64.tmp。

尝试着通过download.txt提及到的域名来下来upsupx.exe和ok.exe，发现竟然真的可以下回来。

并比对sha1发现，upsupx.exe就是conhost.exe，是利用pcshare改版后的后门文件，从ok.exe的图标不难发现和之前的max.exe图标一致，且两者sha1值一样，说明这就是同一个文件，也就是用于bootkit的攻击程序。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课