MyKings僵尸网络利用受感染的计算机网络挖矿

NO.1 【摘要】

MyKings 是一个长期存在的僵尸网络， 自从 2016 年开始便一直处于活跃状态。它在全世界大肆传播和扩张，以至于获得了多个名称 - 例如，MyKings、Smominru和DarkCloud。其庞大的基础设施由多个部件和模块组成，包括bootkit、 coin miners、droppers、clipboard stealers(剪贴板窃取器)等。

研究表明，自 2019 年以来，MyKings 背后的组织从比特币、以太坊和狗狗币等加密货币中至少获利了 2400 万美元（甚至可能更多）。

研究人员收集了超过6700个独特的样本。2020 年以来受到剪贴板窃取器威胁的用户超过144000 名，并且这些攻击事件大多数发生在俄罗斯、印度和巴基斯坦。

剪贴板窃取器是MyKings比较出名的基础设施，本文将从其技术手法、货币化和扩散传播这三个点进行展开。此外，本文将研究剪贴板窃取器是如何使攻击者能够利用 Steam 交易优惠和 Yandex 云盘链接进行欺诈，从而扩大感染范围。

NO.2 【金钱收益】

Sophos在2019年底发布的博客中，公布了MyKings的49个钱包地址，它们或者并未使用，或者收到的钱数从未超过几美元。随后，Avast通过追踪最新样本，将钱包地址扩展到了1300多个。

Avast通过比特币、以太坊和狗狗币账户获得的金额数量找出攻击者。在检查了这些地址后，研究人员发现MyKings通过这些地址转移了价值超过 24700000 美元的加密货币。这里还必须指出，并不是所有的钱都一定来自MyKings的活动。

在仔细查看了交易并检查了投放剪贴板窃取器的安装程序内容后，可以发现这些钱中的一部分是通过加密货币矿机获得的。剪贴板窃取器和加密货币矿机使用了相同的钱包地址。

NO.3【归因】

此前，所有关于该剪贴板窃取器的文章，都将其归因于MyKings，但一直拿不出足够的证据。一些文章（如Sophos的文章）认为，MyKings会利用C3.bat之类的脚本杀死其它僵尸网络程序以及老版本的MyKings程序，这一观点也令人起疑。作为一个拥有众多模块的大型僵尸网络，在将所有金钱收益都归于MyKings之前，本文希望能够证明该剪贴板窃取器确实是MyKings的一部分。

本文采用的研究样本hash为

d2e8b770ddb96c4d52a34f9498dc7d885c7b11b8745b78f3f6beaeece191

该样本是一个NSIS 安装器，可在 32 和 64 位系统中投递NSCpuCNminer。在该样本的头部字段中可以看到被用于矿机配置的门罗币地址：

41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNfiCW7xghhbKZV6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2

除了NsCpuCNminer之外，该样本向

C:\\Users\\\\AppData\\Local\\Temp\\java.exe

中投递了一个名为 java12.exe 的附加文件。此文件的 SHA256为

0390b466a8af2405dc269fd58fe2e3f34c3219464dcf3d06c64d01e07821cd7a

，由安装程序从

http://zcop[.]ru/java12.dat

上下载。此文件也可以从

http://kriso[.]ru/java12.dat

中获取。此文件包含一个剪贴板窃取器。此外，在剪贴板窃取器和 NSIS 配置中都能找到相同的门罗币地址。

在研究了门罗币地址后，研究人员在腾讯御剑威胁情报中心撰写的博客中发现，样本

b9c7cb2ebf3c5ffba6fdeea0379ced4af04a7c9a0760f76c5f075d295c5ce2

使用了相同的地址。此样本是另一个 NSIS 安装器，可投递 NSCpuCNminer 和剪贴板窃取器。此 NSIS 安装程序通常以"king.exe或"king.dat"命名，并且可以从

http://kr1s[.]ru/king.dat

上下载得到。

研究人员接下来调查了地址

http://kr1s[.]ru/king.dat

，发现在不同的时间段，该地址包含的文件

f778ca041cd10a67c9110fb20c5b85749d01af82533cc0 429a7eb9badc45345c

通常投递到

C:\\Users\\\\AppData\\Local\\Temp\\king.exe 或C:\\Windows\\system32\\a.exe

。该文件是一个下载剪贴板窃取器的 NSIS 安装器，但这次它包含链接

http://js[.]mys2016.info:280/helloworld.msi

和

http://js[.]mys2016.info:280/v.sct

，其与样本my1.html或my1.bat有关，sha256为

5ae5ff335c88a96527426b9d00767052a3cba3c3493a1fa37286d4719851c45c

该文件是一个批处理脚本，并且与同名的样本

2aaf1abeaeeed79e53cb438c3bf6795c7c79e256e1f35e2a903c6e92cee05010

几乎相同，这两个脚本都含有字符串

C:\\Progra~1\\shengda 和 C:\\Progra~1\\kugou2010

这两个脚本主要有两个不同点：

1. 在 第12 行，一个脚本使用地址 http://js[.]mys2016.info:280/v.sct ，另一个使用地址 http://js[.]1226bye.xyz:280/v.sct

2. 在 第25 行，第二个脚本具有第一个脚本没有的命令。

此外，可以查看文件 c3.bat, sha256为

0cdef01e74acd5bbfb496f4fad5357266dabb2c457bc3dc267ffad6457847ad4

。此文件是另一个与地址

http://js[.]1226bye.xyz:280/v.sct

通信的批处理脚本。并包含许多 Mykings 的特定字符串，如 fuckayoumm3 、 Mysa1 。

NO.4【技术分析】

本节侧重于对剪贴板窃取器的技术分析。

4.1 恶意软件的目标

剪贴板窃取器的目的相当简单：检查剪贴板是否存在特定内容，并操纵剪贴板以防它与预先定义的正则表达式相匹配。此恶意软件基于这样一个事实，即用户不会想到粘贴的值会不同于他复制的值。当用户忽视了复制和粘贴有时是完全不同的东西时，很容易发生这一情况。一长串随机数字和字母会更改为非常相似的字符串，例如数字货币钱包地址。此过程使用的功能有打开剪贴板、清空剪贴板、设置剪贴板数据和关闭剪贴板。尽管此功能非常简单，但使用这种简单的方法，攻击者可能已经获利超过 24700000 美元。

如下图所示，用于检查剪贴板内容的大多数正则表达式将匹配特定加密货币的钱包格式，但也有匹配 Yandex 文件存储的正则表达式、指向俄罗斯社交网络 VKontakte 的链接或 Steam 交易优惠链接。

如下图所示，可以发现区块链资源管理下的许多评论，不少人错误地将钱汇入了犯罪帐户，并要求管理人员将他们的钱退回。针对这种恶意活动，强烈建议人们在汇款前始终仔细检查交易详细信息。

4.2 防御和特征

其他一些博客文章描述了一些反调试检查和防御系统监控工具，但并不能确保是正确的。

为了避免多次执行，剪贴板窃取器会在执行时检查mutex。通过检查操作系统的版本，动态创建 mutex。此过程使用RegOpenKeyExA打开注册表键

SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion

之后，调用RegQueryValueExA函数获取ProductName值。然后，获得的值与后缀 02 进行拼接。通过这种方法，可以获得多种mutex。下面的列表列出了几个 mutex 名称示例：

• Windows 7 Professional02

• Windows 7 Ultimate02

• Windows 10 Enterprise02

• Windows 10 Pro02

• Windows XP02

在恶意软件的其他版本中，使用了注册表键

SOFTWARE\\Microsoft\\WindowsNT\\CurrentVersion

中的值以及BuildGUID。然后，此值与后缀 02进行拼接形成最终的 mutex 名称。

另一种恶意软件隐匿的机制是隐藏属于攻击者的加密货币钱包地址。当恶意软件与剪贴板中的任何正则表达式匹配时，它将剪贴板内容替换为恶意软件样本中硬编码的值。为了防止快速分析和防止正则表达式的静态提取，攻击者对替代值进行了加密。使用的加密方式是一个非常简单的 ROT 密码，其中密钥设置为 -1。

对于从样本中快速静态提取钱包，可以通过解密整个样本（会破坏除需要值以外的所有数据），然后使用正则表达式提取隐藏的替代值。这种方法的优点是恶意软件作者已经为我们提供了所有必要的正则表达式，因此，静态信息的提取过程可以轻易地实现自动化。

4.3 新发现的功能

4.3.1 steam交易诈骗

一种恶意样本中硬编码的正则表达式如下所示：

((https://steamcommunit))(?!.*id|.*id)(([a-zA-Z0-9.-]+.[a-zA-Z]{2,4})|([0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}.[0-9]{1,3}))(/[a-zA-Z0-9%:/-_?.",27h,"~&]*)?

这种正则表达式被认为可以匹配steam成交的链接。Steam 平台上的用户可以创建交易优惠，以便从其库存中与其他用户进行通常的游戏内项目交易。可以交易的物品的起价只有几美分，但最贵的物品售价为数百或数千美元。

剪贴板窃取器操纵交易优惠 URL 并更改接收方，因此 Steam 用户将其商品发送给完全未知的人。交易的链接如下所示：

https://steamcommunity[.]com/tradeoffer/new/?partner=121845838&token=advSgAXy

研究人员总共提取了 14 个不同的 Steam 交易优惠链接，这些链接出现在近 200 个样本中。这些链接指向了14个Steam帐户 - 其中的有些账户已被禁止，有些账户设置了隐私限制--但仍然存在一些有效账户，使得诈骗能够进行。例如，下面是一个与上述交易链接绑定的帐户：

https://steamcommunity.com/id/rosher

在该账户的评论部分，很多人表达了对交易报价连接发生更改的愤怒和疑惑，这表明已经有很多人注意到了交易报价链接的变化。因此，无法估计通过这种技术，攻击者已经诈骗了多少钱。

4.3.2 伪造的Yandex云盘链接

另一种恶意样本中硬编码的正则表达式如下：

((https://yad))+(([a-zA-Z0-9.-]+.[a-zA-Z]{2,4})|([0-9]{1,3}.[0-9]

该正则表达匹配 Yandex 云盘存储的链接。Yandex云是俄罗斯跨国公司 Yandex 创建的云服务，与 Google drive 或 Dropbox 类似，用于共享文件。

此技术的目标是匹配用户发送给朋友和家人共享文件或照片的链接。如果恶意软件在发件人的机器上运行，受感染的受害者会向其所有熟人发送错误的链接。如果恶意软件运行在接收链接并复制/粘贴到浏览器地址栏的用户的计算机上，则受害者会再次打开错误的链接。在这两种情况下，错误的链接都由不知道内容异常的用户打开。在这两种情况下，打开错误链接的用户都不知道内容出现了异常，因为相信文件来自他们认识的人，受害者通常会打开自该链接下载的文件。从恶意样本集中，主要提取了以下 4个 Yandex 云盘的链接：

https://yadi[.]sk/d/cQrSKI0591KwOghttps://yadi[.]sk/d/NGyR4jFCNjycVAhttps://yadi[.]sk/d/zCbAMw973ZQ5t3https://yadi[.]sk/d/ZY1Qw7RRCfLMoQ

NO.5【总结】

本文主要对MyKings的剪贴窃取模块进行了讲解，并通过因果链分析，计算了攻击者能够诈取的金钱数量。剪贴板窃取器主要利用Steam交易优惠及Yandex云盘文件共享，向不知情的受害人分发投递恶意软件，从而达到诈骗的目的。

NO.6【附录】

本次攻击活动中的 IOC 列表：

本文为CNTIC整理，不代表本公众号观点

声明：本文来自国家网络威胁情报共享开放平台，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。