安天CERT分析人员通过对异常网络流量进行分析定位到了攻击者C2服务器,并获得了其FTP服务器的登陆凭证。分析人员对FTP服务器进行了持续监控,获得了大量受害主机信息,包括受害主机IP地理位置分布、受害主机操作系统类型分布以及受害主机特征等信息。通过对受害主机信息的统计分析揭示了Mykings僵尸网络近期的规模变化和攻击特点。
1.事件发现
2019年4月,安天探海威胁检测系统(Persistent Threat Detection System,简称PTD)在某高校网络侧发出了异常网络流量告警通知,内网多个主机通过FTP协议将特殊命名的TXT文本上传至境外服务器。
图 1-1 PTD捕获的流量载荷
分析人员对上述提到的境外服务器IP进行关联分析发现其为Mykings僵尸网络的基础设施。基于Mykings僵尸网络TTPs等威胁情报信息,取证分析人员利用安天系统安全检测工具集(Atool)对受害主机操作系统进程进行分析,定位到未签名可疑进程及Mykings僵尸网络感染系统存在的木马本地配置文件xpdown.dat。
图 1-2 未签名进程ups.exe
图 1-3 配置文件xpdown.dat
上述的Mykings僵尸网络C2服务器安装的是Windows操作系统,并对外开放21端口用来接收受害主机上传的敏感信息,开放80和8888端口用来挂载指令和木马文件。
表1-1 境外服务器信息表
2. 样本分析
以下内容主要是对ups.exe木马及其部分行为的分析。
表2-1 ups.exe木马分析
分析人员对从客户侧取证的木马文件进行分析发现,其是在开源代码PcShare[3]的基础上进行了修改,主要功能是循环请求C2服务执行更新自身、执行命令、下载“挖矿”软件等。
图 2-1 请求服务器
Mykings僵尸网络诸多C2的WEB页面中包含指向其他下载地址的明文链接,例如下图中的链接是下载矿工的地址。
图 2-2下载矿工的地址
上图中的链接下载的是64位的Xmrig矿工,用以利用受害主机“挖矿”获取利益。
图2-3 Xmrig矿工
ups.exe木马还会请求C2获取杀死进程的列表,列表内容主要包括木马和“挖矿”程序。
图 2-4杀死进程的列表
除了挖矿行为外,木马还会从其他C2下载执行恶意代码。例如,下面这个脚本的目的是将获取到的受害主机IP、系统配置、CPU使用率、账号密码等内容写入文件并上传到FTP服务器。被上传的文件是最初被PTD监控到的异常网络流量行为中的TXT文件。
图2-5获取信息
图 2-6上传FTP
3.受害主机信息
通过对样本分析和C2关联后发现Mykings僵尸网络是一个规模巨大的僵尸网络,于是安天对其进行了持续的监控。以下是对监控数据进行统计整理后的结果,希望从分析受害主机特征出发研究该僵尸网络的攻击特点和规模变化。
3.1受害主机IP地理位置分布
3.1.1全球分布
安天CERT在对攻击者FTP服务器的持续监控中发现,全球范围内共有210675台受害主机向外网IP上传有效数据。涉及国家有中国、俄罗斯、巴西、印度、越南等,其中中国受害主机数量最多,占全球分布比例的41%,其次为俄罗斯、巴西、印度。
图 3-1 Mykings僵尸网络受害主机全球分布比例
3.1.2中国分布
在全球分布比例中中国共有86777台受害主机,涉及地区包括中国台湾、江苏、浙江、广东、北京等,其中中国台湾地区有29288台受害主机,江苏有10855台受害主机,占比分别为34%和13%。
图 3-2 Mykings僵尸网络受害主机中国分布比例
3.2受害主机操作系统类型分布
基于监控调查结果,受害主机操作系统主要涉及Windows 7、Windows Server 2012和Windows Server 2008。其中,Windows 7操作系统的受害主机占比最高,约为53%,其次是Windows Server 2012和Windows Server 2008。
图 3-3 受害主机操作系统比例
3.3公网受害主机特征
分析人员从网络空间探测网站shodan的数据库中提取了8624份受害主机信息,并对其开放的端口情况进行了统计。从受害主机开放端口的统计情况能够看出,受害主机开放了80、8080等多种web服务器端口,其次是3389、22等远程访问端口,可见拥有公网IP的受害主机大多为WEB服务器。
图 3-4 公网受害主机开放端口统计
4.Mykings僵尸网络规模变化
分析人员在持续监控下发现Mykings僵尸网络感染量不断增长,其规模正在不断扩大。在2019年4月至8月期间最大感染量为346525台受害主机,受害机构涉及企业、高校、政府等。被监控的僵尸网络每月新增受害主机数量约十几万台(其中7月数据因其服务器无法连续访问导致数据量下降)。
图 4-1 感染量逐月增长情况
5.总结
安天为您提供的安全防护建议如下:
1.定期修改服务器口令,禁止使用弱口令;
2.确保系统与应用程序及时下载更新官方提供的最新补丁;
3.定期使用反病毒软件进行系统扫描,如反病毒软件具有启发式扫描功能,可使用该功能扫描计算机;
4.在终端安装可靠的安全防护产品,如安天智甲进行有效防护。
Mykings僵尸网络下载执行的恶意代码会根据C2服务设置而改变,因此清理工作增加了很多不确定性。受害者可通过以下步骤进行清除,如仍不能解决问题请联系专业人员。
受害者可通过以下步骤进行清除,如仍不能解决问题请联系专业人员。
安天智甲终端防御系统通过诱饵文件、行为分析、文件变化审计、进程身份识别等多种能力的结合,可实现对主流僵尸网络的有效防护。经验证,安天智甲可实现对Mykings僵尸网络有效防护。
领取专属 10元无门槛券
私享最新 技术干货