MyKings是什么意思

這篇文章主要為大家展示了“MyKings是什么意思”，內(nèi)容簡而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領(lǐng)大家一起研究并學(xué)習(xí)一下“MyKings是什么意思”這篇文章吧。

MyKings 是一個(gè)由多個(gè)子僵尸網(wǎng)絡(luò)構(gòu)成的多重僵尸網(wǎng)絡(luò)，2017 年 4 月底以來，該僵尸網(wǎng)絡(luò)一直積極地掃描互聯(lián)網(wǎng)上 1433 及其他多個(gè)端口，并在滲透進(jìn)入受害者主機(jī)后傳播包括 DDoS、Proxy、RAT、Miner 在內(nèi)的多種不同用途的惡意代碼。360網(wǎng)絡(luò)安全研究院將其命名為 MyKings，原因之一來自該僵尸網(wǎng)絡(luò)的一個(gè)主控域名 *.mykings[.]pw。    

MyKings 并不是一個(gè)新的僵尸網(wǎng)絡(luò)，在360網(wǎng)絡(luò)安全研究院之前有若干對該僵尸網(wǎng)絡(luò)組件的分析（詳見 <友商披露情況> 一節(jié)），但在本次批露之前，各家分析都沒有形成完整的拼圖，也未見有效行動(dòng)遏制該僵尸網(wǎng)絡(luò)的擴(kuò)散。

2017 年 5 月 23 日，360網(wǎng)絡(luò)安全研究院第一次聯(lián)系到新浪安全團(tuán)隊(duì)，并隨后采取了多輪聯(lián)合行動(dòng)。新浪安全團(tuán)隊(duì)關(guān)閉了 MyKings 的上聯(lián) URL，并向360網(wǎng)絡(luò)安全研究院提供了相關(guān)的訪問日志。聯(lián)合行動(dòng)有效遏制了該僵尸網(wǎng)絡(luò)的擴(kuò)散，也希望能為后續(xù)其他聯(lián)合行動(dòng)掃清障礙。被關(guān)閉的這些上聯(lián) URL 如下：

     
圖1

Mykings 本身模塊化，構(gòu)成很復(fù)雜, 本 Blog 是個(gè)概述，具體技術(shù)分析的內(nèi)容見文末的 2 份 PDF 文檔。

MyKings 的感染范圍和流行程度

統(tǒng)計(jì) 2017 年 5 月底前述被關(guān)閉的上聯(lián) URL 的訪問來源 IP 數(shù)可知，獨(dú)立來源 IP 總數(shù)1,183,911 個(gè)，分布在遍布全球 198 個(gè)國家和地區(qū)。其中來源 IP 超過 100,000 的國家和地區(qū)有四個(gè)，分別是俄羅斯、印度、巴西和中國。

   
圖2

   
圖3    

另外，在域名流行程度方面，最為流行的域名是 up.f4321y.com ：

該域名DNS被請求頻率超過 2.5m/每日

該域名流行程度排行，歷史最高79753 名，目前穩(wěn)定在8萬～9萬之間。

   
圖4    

MyKings的組成

MyKings 是一組多個(gè)子僵尸網(wǎng)絡(luò)的混合體，其簡要結(jié)構(gòu)如下圖所示。

   
圖5

   
圖6    

如上兩圖：

攻擊者使用Scanner(msinfo.exe) 掃描滲透進(jìn)入受害者主機(jī)后，會(huì)自動(dòng)嘗試下載惡意代碼。下載 URL 中的IP 部分被編碼在受控的 Blog 頁面中；

Blog 頁面中編碼的 IP 地址是指向 Dropper(ups.rar) 的，這個(gè)配置項(xiàng)可以由攻擊者在云端動(dòng)態(tài)調(diào)整；部分 Blog 頁面已經(jīng)被前述聯(lián)合行動(dòng)關(guān)閉；

Dropper 服務(wù)器上提供了惡意代碼和對應(yīng)的啟動(dòng)腳本的下載，這些內(nèi)容同樣可以由攻擊者在云端動(dòng)態(tài)調(diào)整；

360網(wǎng)絡(luò)安全研究院觀察到所下載的惡意代碼有 Mirai, Proxy，RAT和 Miner。

明確上述結(jié)構(gòu)以后，使得360網(wǎng)絡(luò)安全研究院可以將整個(gè) MyKings 劃分為多個(gè)子僵尸網(wǎng)絡(luò)，并逐一標(biāo)記各子僵尸網(wǎng)絡(luò)的特征如下表：

 
圖7

各子僵尸網(wǎng)絡(luò)相互之間的構(gòu)建關(guān)系如下表所示：

 
圖8

從上述兩個(gè)表中360網(wǎng)絡(luò)安全研究院可以得出以下結(jié)論：

botnet.-1/1/2/3/4 各自擁有獨(dú)立的上聯(lián)控制端，僅在構(gòu)建過程中需要 botnet.0 支撐，構(gòu)建完成后的運(yùn)營階段可以各自獨(dú)立、不再相互依賴；

botnet.0 支撐了多數(shù)其他子僵尸網(wǎng)絡(luò)的構(gòu)建過程。再考慮到360網(wǎng)絡(luò)安全研究院在botnet.0 的所有代碼中沒有看到其他任何惡意行為，360網(wǎng)絡(luò)安全研究院傾向認(rèn)為 botnet.0 是一個(gè)專注做惡意代碼推廣的網(wǎng)絡(luò) 。

botnet.1.proxy 的推廣者不是 botnet.0，而是 botnet.-1，這是個(gè)例外。不過，上述推廣行為僅在早期持續(xù)了很少一段時(shí)間，主要的惡意代碼推廣仍然由 botnet.0 完成。

MyKings.botnet.0.spreader

botnet.0 是居于核心地位的一個(gè)僵尸網(wǎng)絡(luò)，除了傳播其他僵尸網(wǎng)絡(luò)以外，該僵尸網(wǎng)絡(luò)并沒有其他惡意行為，聚焦在掃描資源建設(shè)和建立后續(xù)其他僵尸網(wǎng)絡(luò)上。該僵尸網(wǎng)絡(luò)有以下特點(diǎn)：

服務(wù)器基礎(chǔ)設(shè)施規(guī)模龐大

積極改進(jìn)感染代碼和能力

向后繼僵尸網(wǎng)絡(luò)的投入提供了定義良好的編程接口

botnet.0 的基礎(chǔ)設(shè)施能力

botnet.0 擁有在幾個(gè)小時(shí)動(dòng)員 2400 個(gè)主機(jī)IP地址發(fā)起掃描的能力。如果360網(wǎng)絡(luò)安全研究院假定每個(gè)主機(jī) IP 地址需要 30 元人民幣（5美元），這就意味著botnet.0一次性投入了超過7萬元人民幣（12,000美元）。

基于如此強(qiáng)大的服務(wù)器基礎(chǔ)設(shè)施，當(dāng)前 botnet.0 貢獻(xiàn)了整個(gè)互聯(lián)網(wǎng)范圍內(nèi) 1433 端口掃描的主要部分。而全部 1433 端口上的掃描，根據(jù)360網(wǎng)絡(luò)安全研究院的 scanmon系統(tǒng)(scan.netlab.360.com)顯示的數(shù)據(jù)，高峰時(shí)期在 30~40m/d，目前穩(wěn)定在 1.5m/d，與 23 端口（Mirai / Hajime）在伯仲之間。

前面提到一次性動(dòng)員的 2400+個(gè)主機(jī)IP地址包括：

123.207.0.0/161150個(gè)

122.114.0.0/161255個(gè)

360網(wǎng)絡(luò)安全研究院檢測到上述主機(jī)集中發(fā)起掃描的時(shí)間在 2017.04.25 08:00:00 附近，當(dāng)時(shí)在 scan.netlab.360.com 上能看到的 1433 端口的掃描情況如下。

 
圖9

可以觀察到當(dāng)天上午8：00開始，1433端口上的掃描有了一個(gè)巨大的暴增。暴增前每日掃描事件約為5m/d，之后突增到30～40m/d。

觀察這些活躍IP在C類段（/24）中的排名，前100的C類段中有99個(gè)來自前述兩個(gè)B類段?？紤]到這些IP地址段行為規(guī)律一致、時(shí)間窗口集中，360網(wǎng)絡(luò)安全研究院將這些IP地址歸入 MyKings 的資源池。

 
圖10

botnet.0 的掃描和滲透能力

botnet.0 的掃描行為是由于其 msinfo.exe 進(jìn)程發(fā)起的。該進(jìn)程會(huì)拉取云端的 wpd.dat 配置文件，配合云端機(jī)制發(fā)起掃描，并且隨著版本更迭不斷改進(jìn)自身掃描能力。

掃描的端口和服務(wù)如下：

o    1433 MSSQL

o    3306 MySQL

o    135 WMI

o    22 SSH

o    445 IPC

o    23 Telnet, mirai 僵尸網(wǎng)絡(luò)

o    80 Web, CCTV設(shè)備

o    3389 RDP, Windows遠(yuǎn)程桌面

 掃描目標(biāo)IP地址：生成機(jī)制越來越復(fù)雜

o    早期版本中， msinfo.exe 用來掃描的目標(biāo) IP 只有兩種：從云端配置文件 wpd.dat 獲取、在本地根據(jù)外網(wǎng)出口 IP 隨機(jī)生成；

o    最新樣本中，增加了一種更復(fù)雜的本地隨機(jī)生成算法，并且會(huì)避開一批保留地址段。

掃描方式：不斷演化，直至集成Masscan

o    早期版本中，支持 TCP Connect 和 TCP SYN 兩種掃描方式，分別對應(yīng)木馬中實(shí)現(xiàn)的兩個(gè)掃描模塊；

o    早期版本的 msinfo.exe 中，兩種掃描方式都是自己編寫的，其中 TCP Connect 模塊用到了TheUltimate TCP/IP 函數(shù)庫中的 CUT_WSClient 類，而 TCP SYN 掃描模塊則用到了 RAWSocket 相關(guān)的 DLL 文件并自己手動(dòng)構(gòu)造數(shù)據(jù)包；

o    最新樣本中，在 TCP SYN 模塊集成了知名全網(wǎng)端口掃描器 Masscan ，并且把目標(biāo) IP 配置成 0.0.0.0/0 ，發(fā)起對全網(wǎng)的高速掃描。

掃描載荷

o    弱口令字典比較豐富，近百條是針對 Telnet 和 MSSQLServer；

o    獲得服務(wù)權(quán)限后，進(jìn)行進(jìn)一步攻擊入侵的 Palyload 也很強(qiáng)大，其中針對 MSSQL Server 進(jìn)行注入利用的 SQL 語句格式化后有近千行。

botnet.0 提供的后繼僵尸網(wǎng)絡(luò)接入界面

botnet.0 向后繼僵尸網(wǎng)絡(luò)提供的接入界面簡明清晰，以至于從后繼其他僵尸網(wǎng)絡(luò)的角度來看，只需要按照接入界面要求配置安裝包下載地址，以及安裝包被下載后需要執(zhí)行的腳本，安裝包就會(huì)被下載執(zhí)行。至于掃描和投入階段的各種技術(shù)細(xì)節(jié)，可以交由 botnet.0 處理，自己完全不用關(guān)注。

上述接入界面包括：

靈活的云端配置文件：botnet.0.spreader的核心木馬 msinfo.exe 用到的云端配置文件 wpd.dat ，是一個(gè)加密的 XML 文檔，其中指定了暴破 Telnet 成功后用到來下載 Mirai 樣本的 C2 地址、需要掃描的網(wǎng)絡(luò)服務(wù)端口、暴破各個(gè)端口所需的口令、入侵各個(gè)網(wǎng)絡(luò)服務(wù)時(shí)執(zhí)行的部分命令以及需要掃描的目標(biāo) IP 范圍等配置。這些配置都可以根據(jù)后繼僵尸網(wǎng)絡(luò)的要求靈活更改。

模塊化編程架構(gòu)的msinfo.exe : 主要是其 Crack 模塊中通過繼承一個(gè)基類 Task_Crack ，實(shí)現(xiàn)其中定義好的一組連接、暴破、執(zhí)行命令等功能的函數(shù)接口即可定義一個(gè) Task_Crack_XXX 子類，繼而實(shí)現(xiàn)針對一個(gè)新的網(wǎng)絡(luò)服務(wù)的攻擊模塊。Crack 模塊與 wpd.dat 配置文件中定義的待掃描網(wǎng)絡(luò)服務(wù)端口相對應(yīng)，可以靈活更改針對不同網(wǎng)絡(luò)服務(wù)的    Crack 功能。

其他輔助云端配置文件：msinfo.exe與 botnet.0.spreader 用到的另外一個(gè)輔助木馬 ups.exe ，會(huì)涉及其它云端配置文件，如 update.txt、ver.txt、my1.html、test.html、kill.html、clr.txt等。這些也都可以靈活配置，方便攻擊者控制在下一階段需要下載什么樣本、執(zhí)行什么樣的命令。

被推廣的其他子僵尸網(wǎng)絡(luò)

botnet.0 推廣的其他僵尸網(wǎng)絡(luò)包括：

botnet.-1.mirai

botnet.1.proxy

botnet.2.rat

botnet.3.miner

botnet.4.rat

360網(wǎng)絡(luò)安全研究院使用序號來標(biāo)記首次發(fā)現(xiàn)的順序、后綴標(biāo)識(shí)給子僵尸網(wǎng)絡(luò)的用途。

botnet.-1.mirai

cnc.f321y.com(123.51.208.155:23) 是一個(gè) mirai 僵尸網(wǎng)絡(luò)，它與 MyKings 的同源關(guān)系在卡巴斯基的早期文章中已經(jīng)論證。

360網(wǎng)絡(luò)安全研究院追溯到該C2發(fā)出的第一條攻擊指令，是在2016-12-20發(fā)出的。

 
圖11

2016-12-20 20:36123.51.208.155:23|http_flood|118.193.139.184:54321

值得一提的是指令中受害者IP地址118.193.139.184 上，曾經(jīng)有若干 C2 域名同屬 MyKings 控制：

2016-04-0115:55:56 2016-12-27 19:14:42 pc.kill1234.com 118.193.139.184

2016-04-2413:07:50 2016-12-27 19:02:22 xq.kill1234.com 118.193.139.184

botnet.1.proxy

botnet.1.proxy 是一個(gè)代理網(wǎng)絡(luò)。這個(gè)網(wǎng)絡(luò)不是由botnet.0.spreader直接創(chuàng)建，而是通過 botnet.-1.mirai 間接建立的。360網(wǎng)絡(luò)安全研究院觀察到以上建立過程發(fā)生在 2017.05.05-2017.05.17 之間

 
圖12

botnet.0.spreader 在投遞一組特殊的 mirai 樣本，建立botnet.-1.mirai

botnet.-1.mirai 除了運(yùn)行mirai自身的行為，還會(huì)下載得到 do.arm 系列樣本

do.arm 系列樣本運(yùn)行起來以后，會(huì)在本機(jī)建立socks proxy，并將所生成的隨機(jī)密碼發(fā)回給 211.23.167.180:9999

至此，以211.23.167.180:9999 為核心的 botnet.2.proxy 就建立起來了。

為了確認(rèn)上述proxy 網(wǎng)絡(luò)會(huì)被利用，360網(wǎng)絡(luò)安全研究院模擬了一個(gè) bot 向 botnet.2.proxy C2 提供了一個(gè)密碼。之后，botnet.2.proxy向360網(wǎng)絡(luò)安全研究院模擬的 bot 發(fā)出測試請求，要求利用 proxy 獲取www.baidu.com 網(wǎng)頁。

 
圖13

圖中顯示，botnet.2.proxy執(zhí)行的動(dòng)作包括：

提供了用戶名： 固定為admin

提供了口令：???????? 。這個(gè)口令是360網(wǎng)絡(luò)安全研究院之前隨機(jī)生成、并提供給 botnet.2.proxy 的。這里口令做了掩碼處理，以減少360網(wǎng)絡(luò)安全研究院工作IP的暴露風(fēng)險(xiǎn)

要求訪問 http://www.baidu.com

在得到了回應(yīng)的頁面后，botnet.2.proxy 沉寂不再與360網(wǎng)絡(luò)安全研究院控制的bot聯(lián)系。

botnet.2.rat 一個(gè)RAT僵尸網(wǎng)絡(luò)

botnet.2.rat 在 Cyphort 的文檔中已經(jīng)批露，概要信息如下：

是由botnet.0.spreader 直接建立的

投遞樣本 sha256sum:e6fc79a24d40aea81afdc7886a05f008385661a518422b22873d34496c3fb36b

樣本中包含C2 pc.5b6b7b.info

上述情況與360網(wǎng)絡(luò)安全研究院的觀察一致。

botnet.3.miner 一個(gè)挖礦網(wǎng)絡(luò)

360網(wǎng)絡(luò)安全研究院觀察到的botbet.3.miner 的特征包括：

MinerPool：pool.minexmr.com:5555

WalletID：

1.  47Tscy1QuJn1fxHiBRjWFtgHmvqkW71YZCQL33LeunfH4rsGEHx5UGTPdfXNJtMMATMz8bmaykGVuDFGWP3KyufBSdzxBb2--> Total Paid: 2000+ xmr

2.  45bbP2muiJHD8Fd5tZyPAfC2RsajyEcsRVVMZ7Tm5qJjdTMprexz6yQ5DVQ1BbmjkMYm9nMid2QSbiGLvvfau7At5V18FzQ--> Total Paid: 6000+ xmr

MinerPoolPass：x

在火絨實(shí)驗(yàn)室的文檔里提及了挖礦僵尸網(wǎng)絡(luò)，但是未給出特征細(xì)節(jié)，無法判定是否 botnet.0 僅推廣了一個(gè)挖礦網(wǎng)絡(luò)。

botnet.4.rat 另一個(gè)RAT僵尸網(wǎng)絡(luò)

botnet.4.rat 沒有被其他安全廠商批露過。概要信息如下：

下載鏈接：http://104.37.245.82:8888/nb.dat

樣本中包含C2 nb.ruisgood.ru

近況

2018.1.17 開始，針對 1433 端口的掃描流量有明顯的下降趨勢，從360網(wǎng)絡(luò)安全研究院對此 Botnet 的跟蹤來看，此前支撐該 Botnet 的主要 C2 之一 67.229.144.218 停止服務(wù)。隨后，2018.1.23 凌晨360網(wǎng)絡(luò)安全研究院發(fā)現(xiàn)一個(gè)新的 C2 IP 上線： 67.229.99.82。

另外，360網(wǎng)絡(luò)安全研究院發(fā)現(xiàn)該團(tuán)伙還在陸續(xù)更新 Botnet 后面其他的基礎(chǔ)設(shè)施

新的樣本下載 FTP 服務(wù)器 ftp://ftp.ftp0118.info/，口令 test:1433；

新的樣本&云端配置文件服務(wù)器 down.down0116.info；

新的新浪博客賬號以及 3 篇新的新浪博客 Post。

在2018.1.17~2018.1.21 這段時(shí)間，針對 1433 端口的掃描流量有一個(gè)明顯的波谷，360網(wǎng)絡(luò)安全研究院懷疑這與該團(tuán)伙的基礎(chǔ)設(shè)施變動(dòng)有直接關(guān)系：

圖14

以上是“MyKings是什么意思”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識(shí)，歡迎關(guān)注億速云行業(yè)資訊頻道！