公司内网主机沦为MyKings僵尸网络肉鸡

2019年01月30日 作者: 瀚思科技

一、什么是MyKings僵尸网络

MyKings 是一个由多个子僵尸网络(botnet.0.spreader、botnet.-1.mirai、botnet.1.proxy、botnet.2.rat、botnet.3.miner、botnet.4.rat)构成的多重僵尸网络,2017 年 4 月底以来,该僵尸网络一直积极地扫描互联网上 1433 及其他多个端口,并在渗透进入受害者主机后传播包括 DDoS、Proxy、RAT、Miner 在内的多种不同用途的恶意代码。因该僵尸网络的一个主控域名“*.mykings[.]pw”,所以其命名为“MyKings”。

二、MyKings子网络特征

Botnet.0.spreader 居于核心的僵尸网络拥有强大的服务器基础设施,向后继僵尸网络提供接口、有强大的扫描和渗透能力,其扫描行为是核心木马“msinfo.exe”进程发起,用到云端配置文件“wpd.dat”(加密xml文档,其中指定了暴破Telnet成功后用于下载mirai样本的c2地址、需要扫描的网络服务端口、密码字典、攻击payload)和辅助木马“ups.exe”(涉及云端配置文件,如ver.txt、clr.txt等)。

Botnet.-1.mirai 一个mirai僵尸网络,由Botnet.0投递了一组特殊的mirai样本(C2地址是cns.f321y.com),建立“Botnet.-1.mirai”。

Botnet.1.proxy 是一个代理网络。这个网络不是有botnet.0直接创建的,而是通过上一个Botnet.-1建立的。“Botnet.-1.mirai”运行mirai自身的行为,还会下载得到 do.arm 系列样本,do.arm 系列样本运行起来以后,会在本机建立socks proxy,并将所生成的随机密码发回给“211.23.167.180:9999”,至此,以“211.23.167.180:9999”为核心的“botnet.1.proxy”就建立起来了。

Botnet.2.rat 是一个RAT(remote access trojan)僵尸网络,由Botnet.0直接建立的。C2:pc.5b6b.info。

Botnet.3.miner 一个挖矿网络,“C2:xmr.5b567b.ru:8888”,矿池:pool.minnexmr.com:5555。

Botnet.4.rat 另一个RAT僵尸网络,其C2为nb.ruisgood.ru。

三、如何被发现

今年11月,瀚思安全团队通过企业版告警发现“内网主机发起特定端口扫描”的告警,溯源发现该企业的内网主机对外网超过500万个目标发起了1433端口扫描,且每日扫描数量高达5000万次,该内网主机已被黑客沦为肉鸡。通过溯源发现改内网主机通信的IP和域名信息特征与MyKings僵尸网络样本采集相关的IoC信息一致。

四、事件分析

五、详细调查过程

1)瀚思企业版触发告警:“网主机发起特定端口扫描”:

2)溯源发现内网主机10.2.X.X对外网超过500万个目标发起了1433端口扫描:

3)通过溯源原始日志发现,该内网主机扫描数量巨大,单日超过5000万次;发送流量为60,接收流量为0,说明大部分扫描报文未收到响应,确认了扫描行为。

4)进一步溯源该内网主机发起的http通信行为,发现周期性(22分钟左右)访问外网67.229.99.82/ver.txt文件。从浏览器请求该文件显示“1.0.0.5”,疑似木马程序版本信息:

5)同时发现该感染主机还请求了2个外网文件,其中,第一个文件“clr.txt”中包含2个文件路径,下载后经杀毒引擎扫描均确认为恶意程序。第二个文件wpd.txt中包含5个IP地址,经威胁情报验证均为恶意IP地址:

  • 54.255.141.50 – malware download site :
  • 78.142.29.152 – C2, CoinMiner:
  • 208.51.63.150 - malware download site :
  • 70.39.124.66 – suspicious C2:
  • 103.213.246.23– Malware config update site:

6)综合以上信息,该内网主机疑似感染木马(ups.exe),访问了大量云端配置文件。检索相关IP和域名信息,在发布的关于MyKings僵尸网络报告中发现大量关联信息。通过关联报告内容,确认该主机已成为MyKings僵尸网络肉机,需要立即下线处理。

六、建议操作

1) 告警主机IP:10.2.X.X。

2)对感染主机下线查杀病毒。在主机上执行以下命令:netstat –ano | findstr 1433

3)结果为发起1433端口扫描的恶意进程PID(最后一列),再通过任务管理器查找该PID的恶意进程路径。

4)确认该主机是否开放了1433端口导致遭受入侵;修复操作系统漏洞。