-
-
[原创]一张图的前因后果——Mykings挖矿
-
发表于: 2020-7-10 15:35 4166
-
这是由一张图引发的一篇文章,文章主要记录了关于Mykings挖矿的分析和溯源过程,欢迎各位大佬指正。
别的东西说明也没有,有的只是一张图,来看看这神奇的图到底是怎么引起这篇文章的诞生呢。
图中仅有一个域名不过也正是这个域名才有所发现,经访问该域名存活,并且存在相关文件,对所有涉及的数据进行整理后是这个样子的。
其中ups.dat是通过js.1226bye.xyz:280得v.sct脚本内容获取,v.sct的内容如下图所示。
有意思的是ups.dat是一个自解压文件,包含的文件信息如下图。
upx.exe也是采用了同样的方法存储了内部的文件,文件内容如图所示。
最后提取这三个文件,挨个看一看到底是个什么情况。
首先来看一看n.vbs,n.vbs内容相对简单,就是启动位于%temp%目录下的c3.bat,这个%temp%目录是之前自解压设置的目录,其实就是让n.vbs启动c3.bat
接下来看一看c3.bat是个什么情况。
c3.bat相比n.vbs就有所不同了,是一个内容非常复杂的处理脚本。从内容上看像一个清理脚本。
同时还有创建计划Mysa和Mysa2任务等
以及清理相关计划任务的操作。
通过设置自启动来启动后门,下载位于http://js.mys2016.info:280/v1.sct的脚本内容。
可惜的是,这个域名已经失效了,没有更多的信息了。
除此之外还使用wmic下载http://ruisgood.ru域名下的相关文件。
通过ruisgood.ru又找到一些相关联的信息,收集的信息整理如下。
最后看一看excludes,查看内容后发现应该是一个挖矿的配置信息,内容如下图所示。
初步看出这里涉及一个矿池和相关的挖矿账号,应该是一起挖矿事件没错了。
自此,第一天的信息收集基本就到此了。
收到了客户提供的样本,准备开始分析,首先来看看都有些什么文件。
首先有个info和Temp目录,还有一个system目录,不着急,一个一个慢慢看。
首先看看info目录下的文件,包含一个msief.exe,同第一天分析的ups.dat一样,是一个自解压文件,相关信息如图所示。
对比c3.bat,发现这个版本的有所不一样。并且涉及的域名也变化了。
紧接着继续看Temp目录下的文件情况,包含两个文件,一个conhosta.exe和一个conhost.exe,其中conhosta.exe也是一个自解压文件,相关信息如下图所示。
conhost.exe 通过查询到的资料表明,该程序可能是利用了pcshare的源码修改后的程序,主要功能是循环请求C2服务执行更新自身、执行命令、下载“挖矿”软件等。如果是第一次运行,会释放一个xpdown.dat文件,位于C:\Program Files\Common Files目录下。
xpdown.dat的内容是一组ip和域名的集合。
conhosta.exe也是用于释放c3a.bat的,同样的还是看看bat的内容。内容上大同小异,还是有些地方不太一样。
将特殊域名本地化,将内容写入到C:\Windows\System32\drivers\etc\hosts文件中,进行本地解析。
紧接着就是一连串的ip出现,通过这个找到了之后需要的文件。
终于通过c3a.bat里面的power.txt找到一个可用的download.txt,并最终下回来了所有在download中列出来的文件。
其中u.exe主要功能用于设置dns,并修改为223.5.5.5和8.8.8.8
1201.rar就是xmrig挖矿程序,修改文件后缀名为exe,查看属性即可看出该文件的作用,并且修改后缀名后出现了xmrig的图标。
20200510.rar被加壳保护,行为分析时进程直接退出,具体功能暂时不详。
max.exe通过hash,google到了一些相关信息。
最终将其确定为bootkit的安装程序了,之后的部分在详细说明。
g.exe功能未知,没有加壳,google也没有相关联的信息。
最后看下system目录下的文件,开始的时候只有csrs.exe,经过多方面的处理之后提取出相关的资料。
运行后发现有很多跟python相关的文件释放,怀疑是python打包的文件。使用工具提取,确实为python打包。(这里做一个额外的说明,大多数python打包的文件,在执行的时候都会释放一些python相关的文件,可以作为是否是python打包的一个点)
通过相关资料和技术手段,修复pyc头部,并最终反编译得到了原始的py文件,是一个明显利用了ms17010的后门程序。
通过https://img.vim-cn.com/ef/5ab12fdf434f480022a89524ef1f6f97f92786.xml的内容继续寻找,还是找到了一些相关联的东西。
其中ups.rar为之前提及的u.exe,主要用于设置dns。
2.rar和之前的conhosta.exe是同一个文件。所以之前分析的关于conhosta.exe的释放内容完全适用于2.rar。
最后的max.rar,本身被vmp加壳保护,这和之前max.exe文件类似。
并且有相对应的信息
通过google发现,这个就是Mykings中的bootkit工具,来看一看hash的情况,发现两者完全一致。
执行后释放了01.dat和02.dat两个文件,并删除了该文件。
在01.dat中发现了一些和反病毒程序相关的信息。
报告中提及的关于信息
这些信息就是暗藏在01.dat中,通过寻找终于是发现了这两个网址的信息。
同时还有一个TestMsg.tmp和TestMsg64.tmp,用于下载新的文件。由于这里分析的时候没有开启网络连接,所以并没有下载到TestMsg.tmp和TestMsg64.tmp,下图的信息为Mykings中涉及的TestMsg.tmp和TestMsg64.tmp。
尝试着通过download.txt提及到的域名来下来upsupx.exe和ok.exe,发现竟然真的可以下回来。
并比对sha1发现,upsupx.exe就是conhost.exe,是利用pcshare改版后的后门文件,从ok.exe的图标不难发现和之前的max.exe图标一致,且两者sha1值一样,说明这就是同一个文件,也就是用于bootkit的攻击程序。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
赞赏
- [原创]Rundll32的故事 15730
- [分享]关于DLL服务调试方法的尝试 9352
- [原创]流氓广告的分析与研究(原图丢失,请下载附件pdf食用更佳) 8438