這篇文章主要為大家展示了“MyKings是什么意思”��,內(nèi)容簡而易懂���,條理清晰��,希望能夠幫助大家解決疑惑�,下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“MyKings是什么意思”這篇文章吧�����。
創(chuàng)新互聯(lián)公司是一家專業(yè)提供武宣企業(yè)網(wǎng)站建設(shè),專注與網(wǎng)站制作�、網(wǎng)站設(shè)計、H5響應(yīng)式網(wǎng)站�、小程序制作等業(yè)務(wù)。10年已為武宣眾多企業(yè)�����、政府機(jī)構(gòu)等服務(wù)���。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站設(shè)計公司優(yōu)惠進(jìn)行中。
MyKings 是一個由多個子僵尸網(wǎng)絡(luò)構(gòu)成的多重僵尸網(wǎng)絡(luò)�,2017 年 4 月底以來,該僵尸網(wǎng)絡(luò)一直積極地掃描互聯(lián)網(wǎng)上 1433 及其他多個端口��,并在滲透進(jìn)入受害者主機(jī)后傳播包括 DDoS��、Proxy����、RAT�����、Miner 在內(nèi)的多種不同用途的惡意代碼���。360網(wǎng)絡(luò)安全研究院將其命名為 MyKings,原因之一來自該僵尸網(wǎng)絡(luò)的一個主控域名 *.mykings[.]pw���。
MyKings 并不是一個新的僵尸網(wǎng)絡(luò)���,在360網(wǎng)絡(luò)安全研究院之前有若干對該僵尸網(wǎng)絡(luò)組件的分析(詳見 <友商披露情況> 一節(jié)),但在本次批露之前����,各家分析都沒有形成完整的拼圖,也未見有效行動遏制該僵尸網(wǎng)絡(luò)的擴(kuò)散���。
2017 年 5 月 23 日��,360網(wǎng)絡(luò)安全研究院第一次聯(lián)系到新浪安全團(tuán)隊�����,并隨后采取了多輪聯(lián)合行動�����。新浪安全團(tuán)隊關(guān)閉了 MyKings 的上聯(lián) URL���,并向360網(wǎng)絡(luò)安全研究院提供了相關(guān)的訪問日志����。聯(lián)合行動有效遏制了該僵尸網(wǎng)絡(luò)的擴(kuò)散��,也希望能為后續(xù)其他聯(lián)合行動掃清障礙�����。被關(guān)閉的這些上聯(lián) URL 如下:
圖1
Mykings 本身模塊化��,構(gòu)成很復(fù)雜, 本 Blog 是個概述�,具體技術(shù)分析的內(nèi)容見文末的 2 份 PDF 文檔。
MyKings 的感染范圍和流行程度
統(tǒng)計 2017 年 5 月底前述被關(guān)閉的上聯(lián) URL 的訪問來源 IP 數(shù)可知��,獨立來源 IP 總數(shù)1,183,911 個�,分布在遍布全球 198 個國家和地區(qū)�。其中來源 IP 超過 100,000 的國家和地區(qū)有四個,分別是俄羅斯�����、印度、巴西和中國�����。
圖2
圖3
另外���,在域名流行程度方面��,最為流行的域名是 up.f4321y.com :
該域名DNS被請求頻率超過 2.5m/每日
該域名流行程度排行�����,歷史最高79753 名����,目前穩(wěn)定在8萬~9萬之間����。
圖4
MyKings的組成
MyKings 是一組多個子僵尸網(wǎng)絡(luò)的混合體,其簡要結(jié)構(gòu)如下圖所示��。
圖5
圖6
如上兩圖:
攻擊者使用Scanner(msinfo.exe) 掃描滲透進(jìn)入受害者主機(jī)后�����,會自動嘗試下載惡意代碼。下載 URL 中的IP 部分被編碼在受控的 Blog 頁面中�����;
Blog 頁面中編碼的 IP 地址是指向 Dropper(ups.rar) 的�����,這個配置項可以由攻擊者在云端動態(tài)調(diào)整����;部分 Blog 頁面已經(jīng)被前述聯(lián)合行動關(guān)閉;
Dropper 服務(wù)器上提供了惡意代碼和對應(yīng)的啟動腳本的下載�����,這些內(nèi)容同樣可以由攻擊者在云端動態(tài)調(diào)整��;
360網(wǎng)絡(luò)安全研究院觀察到所下載的惡意代碼有 Mirai, Proxy���,RAT和 Miner。
明確上述結(jié)構(gòu)以后��,使得360網(wǎng)絡(luò)安全研究院可以將整個 MyKings 劃分為多個子僵尸網(wǎng)絡(luò),并逐一標(biāo)記各子僵尸網(wǎng)絡(luò)的特征如下表:
圖7
各子僵尸網(wǎng)絡(luò)相互之間的構(gòu)建關(guān)系如下表所示:
圖8
從上述兩個表中360網(wǎng)絡(luò)安全研究院可以得出以下結(jié)論:
botnet.-1/1/2/3/4 各自擁有獨立的上聯(lián)控制端��,僅在構(gòu)建過程中需要 botnet.0 支撐���,構(gòu)建完成后的運營階段可以各自獨立���、不再相互依賴;
botnet.0 支撐了多數(shù)其他子僵尸網(wǎng)絡(luò)的構(gòu)建過程�����。再考慮到360網(wǎng)絡(luò)安全研究院在botnet.0 的所有代碼中沒有看到其他任何惡意行為���,360網(wǎng)絡(luò)安全研究院傾向認(rèn)為 botnet.0是一個專注做惡意代碼推廣的網(wǎng)絡(luò) �。
botnet.1.proxy 的推廣者不是 botnet.0���,而是 botnet.-1����,這是個例外��。不過,上述推廣行為僅在早期持續(xù)了很少一段時間���,主要的惡意代碼推廣仍然由 botnet.0 完成����。
MyKings.botnet.0.spreader
botnet.0 是居于核心地位的一個僵尸網(wǎng)絡(luò)�,除了傳播其他僵尸網(wǎng)絡(luò)以外,該僵尸網(wǎng)絡(luò)并沒有其他惡意行為��,聚焦在掃描資源建設(shè)和建立后續(xù)其他僵尸網(wǎng)絡(luò)上��。該僵尸網(wǎng)絡(luò)有以下特點:
服務(wù)器基礎(chǔ)設(shè)施規(guī)模龐大
積極改進(jìn)感染代碼和能力
向后繼僵尸網(wǎng)絡(luò)的投入提供了定義良好的編程接口
botnet.0 的基礎(chǔ)設(shè)施能力
botnet.0 擁有在幾個小時動員 2400 個主機(jī)IP地址發(fā)起掃描的能力�。如果360網(wǎng)絡(luò)安全研究院假定每個主機(jī) IP 地址需要 30 元人民幣(5美元),這就意味著botnet.0一次性投入了超過7萬元人民幣(12,000美元)�����。
基于如此強(qiáng)大的服務(wù)器基礎(chǔ)設(shè)施��,當(dāng)前 botnet.0 貢獻(xiàn)了整個互聯(lián)網(wǎng)范圍內(nèi) 1433 端口掃描的主要部分�����。而全部 1433 端口上的掃描�����,根據(jù)360網(wǎng)絡(luò)安全研究院的 scanmon系統(tǒng)(scan.netlab.360.com)顯示的數(shù)據(jù),高峰時期在 30~40m/d��,目前穩(wěn)定在 1.5m/d����,與 23 端口(Mirai / Hajime)在伯仲之間����。
前面提到一次性動員的 2400+個主機(jī)IP地址包括:
123.207.0.0/161150個
122.114.0.0/161255個
360網(wǎng)絡(luò)安全研究院檢測到上述主機(jī)集中發(fā)起掃描的時間在 2017.04.25 08:00:00 附近,當(dāng)時在 scan.netlab.360.com 上能看到的 1433 端口的掃描情況如下�。
圖9
可以觀察到當(dāng)天上午8:00開始,1433端口上的掃描有了一個巨大的暴增�����。暴增前每日掃描事件約為5m/d��,之后突增到30~40m/d�����。
觀察這些活躍IP在C類段(/24)中的排名�����,前100的C類段中有99個來自前述兩個B類段?��?紤]到這些IP地址段行為規(guī)律一致�����、時間窗口集中����,360網(wǎng)絡(luò)安全研究院將這些IP地址歸入 MyKings 的資源池�����。
圖10
botnet.0 的掃描和滲透能力
botnet.0 的掃描行為是由于其 msinfo.exe 進(jìn)程發(fā)起的�。該進(jìn)程會拉取云端的 wpd.dat 配置文件,配合云端機(jī)制發(fā)起掃描�,并且隨著版本更迭不斷改進(jìn)自身掃描能力。
掃描的端口和服務(wù)如下:
o 1433 MSSQL
o 3306 MySQL
o 135 WMI
o 22 SSH
o 445 IPC
o 23 Telnet, mirai 僵尸網(wǎng)絡(luò)
o 80 Web, CCTV設(shè)備
o 3389 RDP, Windows遠(yuǎn)程桌面
掃描目標(biāo)IP地址:生成機(jī)制越來越復(fù)雜
o 早期版本中��, msinfo.exe 用來掃描的目標(biāo) IP 只有兩種:從云端配置文件 wpd.dat 獲取�、在本地根據(jù)外網(wǎng)出口 IP 隨機(jī)生成;
o 最新樣本中���,增加了一種更復(fù)雜的本地隨機(jī)生成算法����,并且會避開一批保留地址段。
掃描方式:不斷演化���,直至集成Masscan
o 早期版本中,支持 TCP Connect 和 TCP SYN 兩種掃描方式���,分別對應(yīng)木馬中實現(xiàn)的兩個掃描模塊����;
o 早期版本的 msinfo.exe 中�,兩種掃描方式都是自己編寫的,其中 TCP Connect 模塊用到了TheUltimate TCP/IP 函數(shù)庫中的 CUT_WSClient 類�����,而 TCP SYN 掃描模塊則用到了 RAWSocket 相關(guān)的 DLL 文件并自己手動構(gòu)造數(shù)據(jù)包�����;
o 最新樣本中�,在 TCP SYN 模塊集成了知名全網(wǎng)端口掃描器 Masscan ��,并且把目標(biāo) IP 配置成 0.0.0.0/0 �,發(fā)起對全網(wǎng)的高速掃描��。
掃描載荷
o 弱口令字典比較豐富�����,近百條是針對 Telnet 和 MSSQLServer����;
o 獲得服務(wù)權(quán)限后,進(jìn)行進(jìn)一步攻擊入侵的 Palyload 也很強(qiáng)大����,其中針對 MSSQL Server 進(jìn)行注入利用的 SQL 語句格式化后有近千行。
botnet.0 提供的后繼僵尸網(wǎng)絡(luò)接入界面
botnet.0 向后繼僵尸網(wǎng)絡(luò)提供的接入界面簡明清晰���,以至于從后繼其他僵尸網(wǎng)絡(luò)的角度來看�,只需要按照接入界面要求配置安裝包下載地址��,以及安裝包被下載后需要執(zhí)行的腳本��,安裝包就會被下載執(zhí)行���。至于掃描和投入階段的各種技術(shù)細(xì)節(jié)��,可以交由 botnet.0 處理�,自己完全不用關(guān)注。
上述接入界面包括:
靈活的云端配置文件:botnet.0.spreader的核心木馬 msinfo.exe 用到的云端配置文件 wpd.dat ����,是一個加密的 XML 文檔,其中指定了暴破 Telnet 成功后用到來下載 Mirai 樣本的 C2 地址��、需要掃描的網(wǎng)絡(luò)服務(wù)端口����、暴破各個端口所需的口令����、入侵各個網(wǎng)絡(luò)服務(wù)時執(zhí)行的部分命令以及需要掃描的目標(biāo) IP 范圍等配置。這些配置都可以根據(jù)后繼僵尸網(wǎng)絡(luò)的要求靈活更改���。
模塊化編程架構(gòu)的msinfo.exe : 主要是其 Crack 模塊中通過繼承一個基類 Task_Crack ��,實現(xiàn)其中定義好的一組連接��、暴破�、執(zhí)行命令等功能的函數(shù)接口即可定義一個 Task_Crack_XXX 子類,繼而實現(xiàn)針對一個新的網(wǎng)絡(luò)服務(wù)的攻擊模塊�����。Crack 模塊與 wpd.dat 配置文件中定義的待掃描網(wǎng)絡(luò)服務(wù)端口相對應(yīng)��,可以靈活更改針對不同網(wǎng)絡(luò)服務(wù)的 Crack 功能�����。
其他輔助云端配置文件:msinfo.exe與 botnet.0.spreader 用到的另外一個輔助木馬 ups.exe ����,會涉及其它云端配置文件,如 update.txt�、ver.txt、my1.html�、test.html、kill.html����、clr.txt等。這些也都可以靈活配置��,方便攻擊者控制在下一階段需要下載什么樣本����、執(zhí)行什么樣的命令����。
被推廣的其他子僵尸網(wǎng)絡(luò)
botnet.0 推廣的其他僵尸網(wǎng)絡(luò)包括:
botnet.-1.mirai
botnet.1.proxy
botnet.2.rat
botnet.3.miner
botnet.4.rat
360網(wǎng)絡(luò)安全研究院使用序號來標(biāo)記首次發(fā)現(xiàn)的順序�����、后綴標(biāo)識給子僵尸網(wǎng)絡(luò)的用途�����。
botnet.-1.mirai
cnc.f321y.com(123.51.208.155:23) 是一個 mirai 僵尸網(wǎng)絡(luò)�����,它與 MyKings 的同源關(guān)系在卡巴斯基的早期文章中已經(jīng)論證�。
360網(wǎng)絡(luò)安全研究院追溯到該C2發(fā)出的第一條攻擊指令����,是在2016-12-20發(fā)出的。
圖11
2016-12-20 20:36123.51.208.155:23|http_flood|118.193.139.184:54321
值得一提的是指令中受害者IP地址118.193.139.184 上���,曾經(jīng)有若干 C2 域名同屬 MyKings 控制:
2016-04-0115:55:56 2016-12-27 19:14:42 pc.kill1234.com 118.193.139.184
2016-04-2413:07:50 2016-12-27 19:02:22 xq.kill1234.com 118.193.139.184
botnet.1.proxy
botnet.1.proxy 是一個代理網(wǎng)絡(luò)�。這個網(wǎng)絡(luò)不是由botnet.0.spreader直接創(chuàng)建,而是通過 botnet.-1.mirai 間接建立的�����。360網(wǎng)絡(luò)安全研究院觀察到以上建立過程發(fā)生在 2017.05.05-2017.05.17 之間
圖12
botnet.0.spreader 在投遞一組特殊的 mirai 樣本��,建立botnet.-1.mirai
botnet.-1.mirai 除了運行mirai自身的行為���,還會下載得到 do.arm 系列樣本
do.arm 系列樣本運行起來以后��,會在本機(jī)建立socks proxy��,并將所生成的隨機(jī)密碼發(fā)回給 211.23.167.180:9999
至此��,以211.23.167.180:9999 為核心的 botnet.2.proxy 就建立起來了����。
為了確認(rèn)上述proxy 網(wǎng)絡(luò)會被利用�����,360網(wǎng)絡(luò)安全研究院模擬了一個 bot 向 botnet.2.proxy C2 提供了一個密碼��。之后,botnet.2.proxy向360網(wǎng)絡(luò)安全研究院模擬的 bot 發(fā)出測試請求�����,要求利用 proxy 獲取www.baidu.com 網(wǎng)頁����。
圖13
圖中顯示,botnet.2.proxy執(zhí)行的動作包括:
提供了用戶名: 固定為admin
提供了口令:???????? ���。這個口令是360網(wǎng)絡(luò)安全研究院之前隨機(jī)生成��、并提供給 botnet.2.proxy 的��。這里口令做了掩碼處理���,以減少360網(wǎng)絡(luò)安全研究院工作IP的暴露風(fēng)險
要求訪問 http://www.baidu.com
在得到了回應(yīng)的頁面后,botnet.2.proxy 沉寂不再與360網(wǎng)絡(luò)安全研究院控制的bot聯(lián)系���。
botnet.2.rat 一個RAT僵尸網(wǎng)絡(luò)
botnet.2.rat 在 Cyphort 的文檔中已經(jīng)批露,概要信息如下:
是由botnet.0.spreader 直接建立的
投遞樣本 sha256sum:e6fc79a24d40aea81afdc7886a05f008385661a518422b22873d34496c3fb36b
樣本中包含C2 pc.5b6b7b.info
上述情況與360網(wǎng)絡(luò)安全研究院的觀察一致���。
botnet.3.miner 一個挖礦網(wǎng)絡(luò)
360網(wǎng)絡(luò)安全研究院觀察到的botbet.3.miner 的特征包括:
MinerPool:pool.minexmr.com:5555
WalletID:
1. 47Tscy1QuJn1fxHiBRjWFtgHmvqkW71YZCQL33LeunfH4rsGEHx5UGTPdfXNJtMMATMz8bmaykGVuDFGWP3KyufBSdzxBb2--> Total Paid: 2000+ xmr
2. 45bbP2muiJHD8Fd5tZyPAfC2RsajyEcsRVVMZ7Tm5qJjdTMprexz6yQ5DVQ1BbmjkMYm9nMid2QSbiGLvvfau7At5V18FzQ--> Total Paid: 6000+ xmr
MinerPoolPass:x
在火絨實驗室的文檔里提及了挖礦僵尸網(wǎng)絡(luò)���,但是未給出特征細(xì)節(jié)�����,無法判定是否 botnet.0 僅推廣了一個挖礦網(wǎng)絡(luò)�����。
botnet.4.rat 另一個RAT僵尸網(wǎng)絡(luò)
botnet.4.rat 沒有被其他安全廠商批露過����。概要信息如下:
下載鏈接:http://104.37.245.82:8888/nb.dat
樣本中包含C2 nb.ruisgood.ru
近況
2018.1.17 開始��,針對 1433 端口的掃描流量有明顯的下降趨勢���,從360網(wǎng)絡(luò)安全研究院對此 Botnet 的跟蹤來看�����,此前支撐該 Botnet 的主要 C2 之一 67.229.144.218 停止服務(wù)���。隨后,2018.1.23 凌晨360網(wǎng)絡(luò)安全研究院發(fā)現(xiàn)一個新的 C2 IP 上線: 67.229.99.82�����。
另外,360網(wǎng)絡(luò)安全研究院發(fā)現(xiàn)該團(tuán)伙還在陸續(xù)更新 Botnet 后面其他的基礎(chǔ)設(shè)施
新的樣本下載 FTP 服務(wù)器 ftp://ftp.ftp0118.info/��,口令 test:1433�;
新的樣本&云端配置文件服務(wù)器 down.down0116.info;
新的新浪博客賬號以及 3 篇新的新浪博客 Post���。
在2018.1.17~2018.1.21 這段時間����,針對 1433 端口的掃描流量有一個明顯的波谷�,360網(wǎng)絡(luò)安全研究院懷疑這與該團(tuán)伙的基礎(chǔ)設(shè)施變動有直接關(guān)系:
圖14
以上是“MyKings是什么意思”這篇文章的所有內(nèi)容,感謝各位的閱讀�����!相信大家都有了一定的了解�����,希望分享的內(nèi)容對大家有所幫助�,如果還想學(xué)習(xí)更多知識,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道�!
網(wǎng)站題目:MyKings是什么意思
文章轉(zhuǎn)載:
http://weahome.cn/article/ggdgpo.html
重慶分公司
重慶分公司
