۰

شناسایی نمونه جدیدی از بدافزار MyKings

تاریخ انتشار
جمعه ۱ شهريور ۱۳۹۸ ساعت ۱۸:۳۷
شناسایی نمونه جدیدی از بدافزار MyKings
شناسایی نمونه جدیدی از بدافزار MyKings
 

آی تی من- به گزارش مرکز افتا، به نقل از Trend Micro، بات‌نت MyKings برای اولین بار در سال ۲۰۱۷ شناسایی شد، تا اوایل سال ۲۰۱۸ بیش از ۵۰۰ هزار سیستم را آلوده کرد و معادل ۲,۳ میلیون دلار از طریق کاوش رمزارز بدست آورد.


ورودی‌های رجیستری ایجاد شده توسط نسخه 2017 بدافزار MyKings

شناسایی فعالیت‌های جدید بدافزار MyKings از آنجایی آغاز شد که در سیستم‌های مورد بررسی Trend Micro، ارتباطاتی با آدرس‌های زیر مشاهده شد:
 
•    hxxp://js[.]mykings.top:۲۸۰/v[.]sct
 
•    hxxp://js[.]mykings.top:۲۸۰/helloworld[.]msi
 

وجود عبارت mykings در URLها نشان‌گر ارتباط آن‌ها با سرورهای فرمان و کنترل (C&C) بدافزار MyKings است.

بدافزار جدید نسبت به نمونه مشاهده شده در سال ۲۰۱۷ در چندین بخش تکامل یافته است. نمونه جدید کشف شده، بر خلاف نمونه قدیمی، علاوه‌بر استفاده از WMI برای کسب پایداری در سیستم، از رجیستری، task scheduler و یک بوت‌کیت نیز استفاده می‌کند. بوت‌کیت از نام فایل lsmosee.exe یا s.rar بهره می‌برد.

Scheduled tasks
 
Windows Management Instrumentation (WMI) objects


بدافزار یک فرایند پردازشی را در سیستم قربانی تزریق کرده که این فرایند یک shellcode را از سرور C&C دریافت می‌کند. فایل shellcode در نهایت آدرسی را به بدافزار معرفی می‌کند که منجر به بارگیری فایل upsupx.exe می‌شود. این فایل با نام conhost.exe ذخیره و اجرا می‌شود. فایل upsupx یا conhost دانلودکننده اصلی بدافزار است که لیست دیگری از سرورهای C&C و فایل kill.txt را دریافت و حاوی فرایندهای پردازشی است که بدافزار آن‌ها را متوقف می‌کند.

بدافزار در نهایت از قدرت پردازشی سیستم قربانی به منظور کاوش رمزارز سوء‌استفاده می‌کند. طبق گزارش Trend Micro، نفوذ اولیه و گسترش بدافزار از طریق اکسپلویت EternalBlue و WMI در ویندوز است.

نشانه‌های آلودگی (IoC):

هش‌ها:
 
•  b۲.exe/msief.exe - e۸ddefd۲۳۷۶۴۶a۴۷debc۰۱df۹aa۰۲fbcae۴۰۶۸۶f۹۶b۷۸۶۰۵۱۱c۷۳۷۹۸c۷۵۴۶۲۰۱
 
•  s / p - ۷a۴f۲f۲۷۰۲fababb۰۶۱۹۵۵۶e۶۷a۴۱d۰a۰۹e۰۱fbfdb۸۴d۴۷b۴۴۶۳decdbb۳۶۰۹۸۰
 
•  ps - d۵f۹۰۷f۹d۲۰۰۱ee۵۰۱۳c۴c۱af۹۶۵۴۶۷۷۱۴bbc۰۹۲۸۱۱۲e۵۴ba۳۵d۱۴۲c۸eab۶۸bf    
 
•   upsupx.exe - ۷۹۰c۲۱۳e۱۲۲۷adefd۲d۵۶۴۲۱۷de۸۶ac۹fe۶۶۰۹۴۶e۱۲۴۰b۵۴۱۵c۵۵۷۷۰a۹۵۱abfd
 
•  item.rar/item.dat - ۸۰f۸ba۷۹۹۲a۵dbaa۴a۲f۷۶۲۶۳۲۵۸d۵d۷bf۳bb۸۹۹۴f۹e۸a۴a۵۲۹۴f۷۰ab۸e۳۸ea۴
 
•  ps - ab۲۶a۸۵۹۶۳۳d۱ec۶۸e۰۲۱۲۲۶fab۴۷۸۷۰ed۷۸fc۲e۶a۵۸c۷۰a۷a۷۰۶۰be۵۱۲۴۷c۱d

•  s.rar - a۳bb۱۳۲ab۱ba۳e۷۰۶b۹۰d۶fb۵۱۴۵۰۴۱۰۵f۱۷۴c۴e۴۴۴e۸۷be۷bce۱۹۹۵f۷۹۸۰۴۴d
 
•  item.dat - ۷۹bcb۰b۷ba۰۰c۴c۶۵bf۹b۴۱cfe۱۹۳fd۹۱۷d۹۲ab۱d۴۱۴۵۶ac۷۷۵۸۳۶cec۵cadc۹a
 
 

(Indicators of Compromise (IoCs


URLها:
 
•  ok[.]xmr۶b[.]ru
•  ۷۴[.]۲۲۲[.]۱۴[.]۶۱
•  ۴۵[.]۵۸[.]۱۳۵[.]۱۰۶
•  ۱۰۳[.]۹۵[.]۲۸[.]۵۴
•  ۱۰۳[.]۲۱۳[.]۲۴۶[.]۲۳
•  ۱۳۹[.]۵[.]۱۷۷[.]۱۰
 
 
 
کد مطلب : ۲۷۲۶۷۱
ارسال نظر
نام شما

آدرس ايميل شما