亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

MyKings是什么意思

發布時間:2021-12-27 15:00:05 來源:億速云 閱讀:379 作者:小新 欄目:網絡安全

這篇文章主要為大家展示了“MyKings是什么意思”,內容簡而易懂,條理清晰,希望能夠幫助大家解決疑惑,下面讓小編帶領大家一起研究并學習一下“MyKings是什么意思”這篇文章吧。

MyKings 是一個由多個子僵尸網絡構成的多重僵尸網絡,2017 年 4 月底以來,該僵尸網絡一直積極地掃描互聯網上 1433 及其他多個端口,并在滲透進入受害者主機后傳播包括 DDoS、Proxy、RAT、Miner 在內的多種不同用途的惡意代碼。360網絡安全研究院將其命名為 MyKings,原因之一來自該僵尸網絡的一個主控域名 *.mykings[.]pw。    

MyKings 并不是一個新的僵尸網絡,在360網絡安全研究院之前有若干對該僵尸網絡組件的分析(詳見 <友商披露情況> 一節),但在本次批露之前,各家分析都沒有形成完整的拼圖,也未見有效行動遏制該僵尸網絡的擴散。

2017 年 5 月 23 日,360網絡安全研究院第一次聯系到新浪安全團隊,并隨后采取了多輪聯合行動。新浪安全團隊關閉了 MyKings 的上聯 URL,并向360網絡安全研究院提供了相關的訪問日志。聯合行動有效遏制了該僵尸網絡的擴散,也希望能為后續其他聯合行動掃清障礙。被關閉的這些上聯 URL 如下:

 MyKings是什么意思    
圖1

Mykings 本身模塊化,構成很復雜, 本 Blog 是個概述,具體技術分析的內容見文末的 2 份 PDF 文檔。

MyKings 的感染范圍和流行程度

統計 2017 年 5 月底前述被關閉的上聯 URL 的訪問來源 IP 數可知,獨立來源 IP 總數1,183,911 個,分布在遍布全球 198 個國家和地區。其中來源 IP 超過 100,000 的國家和地區有四個,分別是俄羅斯、印度、巴西和中國。

MyKings是什么意思    
圖2

MyKings是什么意思    
圖3    

另外,在域名流行程度方面,最為流行的域名是 up.f4321y.com :

該域名DNS被請求頻率超過 2.5m/每日

該域名流行程度排行,歷史最高79753 名,目前穩定在8萬~9萬之間。

MyKings是什么意思    
圖4    

MyKings的組成

MyKings 是一組多個子僵尸網絡的混合體,其簡要結構如下圖所示。

MyKings是什么意思    
圖5

MyKings是什么意思    
圖6    

如上兩圖:

攻擊者使用Scanner(msinfo.exe) 掃描滲透進入受害者主機后,會自動嘗試下載惡意代碼。下載 URL 中的IP 部分被編碼在受控的 Blog 頁面中;

Blog 頁面中編碼的 IP 地址是指向 Dropper(ups.rar) 的,這個配置項可以由攻擊者在云端動態調整;部分 Blog 頁面已經被前述聯合行動關閉;

Dropper 服務器上提供了惡意代碼和對應的啟動腳本的下載,這些內容同樣可以由攻擊者在云端動態調整;

360網絡安全研究院觀察到所下載的惡意代碼有 Mirai, Proxy,RAT和 Miner。

明確上述結構以后,使得360網絡安全研究院可以將整個 MyKings 劃分為多個子僵尸網絡,并逐一標記各子僵尸網絡的特征如下表:

MyKings是什么意思 
圖7

各子僵尸網絡相互之間的構建關系如下表所示:

MyKings是什么意思 
圖8

從上述兩個表中360網絡安全研究院可以得出以下結論:

botnet.-1/1/2/3/4 各自擁有獨立的上聯控制端,僅在構建過程中需要 botnet.0 支撐,構建完成后的運營階段可以各自獨立、不再相互依賴;

botnet.0 支撐了多數其他子僵尸網絡的構建過程。再考慮到360網絡安全研究院在botnet.0 的所有代碼中沒有看到其他任何惡意行為,360網絡安全研究院傾向認為 botnet.0 是一個專注做惡意代碼推廣的網絡 。

botnet.1.proxy 的推廣者不是 botnet.0,而是 botnet.-1,這是個例外。不過,上述推廣行為僅在早期持續了很少一段時間,主要的惡意代碼推廣仍然由 botnet.0 完成。

MyKings.botnet.0.spreader

botnet.0 是居于核心地位的一個僵尸網絡,除了傳播其他僵尸網絡以外,該僵尸網絡并沒有其他惡意行為,聚焦在掃描資源建設和建立后續其他僵尸網絡上。該僵尸網絡有以下特點:

服務器基礎設施規模龐大

積極改進感染代碼和能力

向后繼僵尸網絡的投入提供了定義良好的編程接口

botnet.0 的基礎設施能力

botnet.0 擁有在幾個小時動員 2400 個主機IP地址發起掃描的能力。如果360網絡安全研究院假定每個主機 IP 地址需要 30 元人民幣(5美元),這就意味著botnet.0一次性投入了超過7萬元人民幣(12,000美元)。

基于如此強大的服務器基礎設施,當前 botnet.0 貢獻了整個互聯網范圍內 1433 端口掃描的主要部分。而全部 1433 端口上的掃描,根據360網絡安全研究院的 scanmon系統(scan.netlab.360.com)顯示的數據,高峰時期在 30~40m/d,目前穩定在 1.5m/d,與 23 端口(Mirai / Hajime)在伯仲之間。

前面提到一次性動員的 2400+個主機IP地址包括:

123.207.0.0/161150個

122.114.0.0/161255個

360網絡安全研究院檢測到上述主機集中發起掃描的時間在 2017.04.25 08:00:00 附近,當時在 scan.netlab.360.com 上能看到的 1433 端口的掃描情況如下。

MyKings是什么意思 
圖9

可以觀察到當天上午8:00開始,1433端口上的掃描有了一個巨大的暴增。暴增前每日掃描事件約為5m/d,之后突增到30~40m/d。

觀察這些活躍IP在C類段(/24)中的排名,前100的C類段中有99個來自前述兩個B類段。考慮到這些IP地址段行為規律一致、時間窗口集中,360網絡安全研究院將這些IP地址歸入 MyKings 的資源池。

MyKings是什么意思 
圖10

botnet.0 的掃描和滲透能力

botnet.0 的掃描行為是由于其 msinfo.exe 進程發起的。該進程會拉取云端的 wpd.dat 配置文件,配合云端機制發起掃描,并且隨著版本更迭不斷改進自身掃描能力。

掃描的端口和服務如下:

o    1433 MSSQL

o    3306 MySQL

o    135 WMI

o    22 SSH

o    445 IPC

o    23 Telnet, mirai 僵尸網絡

o    80 Web, CCTV設備

o    3389 RDP, Windows遠程桌面

 掃描目標IP地址:生成機制越來越復雜

o    早期版本中, msinfo.exe 用來掃描的目標 IP 只有兩種:從云端配置文件 wpd.dat 獲取、在本地根據外網出口 IP 隨機生成;

o    最新樣本中,增加了一種更復雜的本地隨機生成算法,并且會避開一批保留地址段。

掃描方式:不斷演化,直至集成Masscan

o    早期版本中,支持 TCP Connect 和 TCP SYN 兩種掃描方式,分別對應木馬中實現的兩個掃描模塊;

o    早期版本的 msinfo.exe 中,兩種掃描方式都是自己編寫的,其中 TCP Connect 模塊用到了TheUltimate TCP/IP 函數庫中的 CUT_WSClient 類,而 TCP SYN 掃描模塊則用到了 RAWSocket 相關的 DLL 文件并自己手動構造數據包;

o    最新樣本中,在 TCP SYN 模塊集成了知名全網端口掃描器 Masscan ,并且把目標 IP 配置成 0.0.0.0/0 ,發起對全網的高速掃描。

掃描載荷

o    弱口令字典比較豐富,近百條是針對 Telnet 和 MSSQLServer;

o    獲得服務權限后,進行進一步攻擊入侵的 Palyload 也很強大,其中針對 MSSQL Server 進行注入利用的 SQL 語句格式化后有近千行。

botnet.0 提供的后繼僵尸網絡接入界面

botnet.0 向后繼僵尸網絡提供的接入界面簡明清晰,以至于從后繼其他僵尸網絡的角度來看,只需要按照接入界面要求配置安裝包下載地址,以及安裝包被下載后需要執行的腳本,安裝包就會被下載執行。至于掃描和投入階段的各種技術細節,可以交由 botnet.0 處理,自己完全不用關注。

上述接入界面包括:

靈活的云端配置文件:botnet.0.spreader的核心木馬 msinfo.exe 用到的云端配置文件 wpd.dat ,是一個加密的 XML 文檔,其中指定了暴破 Telnet 成功后用到來下載 Mirai 樣本的 C2 地址、需要掃描的網絡服務端口、暴破各個端口所需的口令、入侵各個網絡服務時執行的部分命令以及需要掃描的目標 IP 范圍等配置。這些配置都可以根據后繼僵尸網絡的要求靈活更改。

模塊化編程架構的msinfo.exe : 主要是其 Crack 模塊中通過繼承一個基類 Task_Crack ,實現其中定義好的一組連接、暴破、執行命令等功能的函數接口即可定義一個 Task_Crack_XXX 子類,繼而實現針對一個新的網絡服務的攻擊模塊。Crack 模塊與 wpd.dat 配置文件中定義的待掃描網絡服務端口相對應,可以靈活更改針對不同網絡服務的    Crack 功能。

其他輔助云端配置文件:msinfo.exe與 botnet.0.spreader 用到的另外一個輔助木馬 ups.exe ,會涉及其它云端配置文件,如 update.txt、ver.txt、my1.html、test.html、kill.html、clr.txt等。這些也都可以靈活配置,方便攻擊者控制在下一階段需要下載什么樣本、執行什么樣的命令。

被推廣的其他子僵尸網絡

botnet.0 推廣的其他僵尸網絡包括:

botnet.-1.mirai

botnet.1.proxy

botnet.2.rat

botnet.3.miner

botnet.4.rat

360網絡安全研究院使用序號來標記首次發現的順序、后綴標識給子僵尸網絡的用途。

botnet.-1.mirai

cnc.f321y.com(123.51.208.155:23) 是一個 mirai 僵尸網絡,它與 MyKings 的同源關系在卡巴斯基的早期文章中已經論證。

360網絡安全研究院追溯到該C2發出的第一條攻擊指令,是在2016-12-20發出的。

MyKings是什么意思 
圖11

2016-12-20 20:36123.51.208.155:23|http_flood|118.193.139.184:54321

值得一提的是指令中受害者IP地址118.193.139.184 上,曾經有若干 C2 域名同屬 MyKings 控制:

2016-04-0115:55:56 2016-12-27 19:14:42 pc.kill1234.com 118.193.139.184

2016-04-2413:07:50 2016-12-27 19:02:22 xq.kill1234.com 118.193.139.184

botnet.1.proxy

botnet.1.proxy 是一個代理網絡。這個網絡不是由botnet.0.spreader直接創建,而是通過 botnet.-1.mirai 間接建立的。360網絡安全研究院觀察到以上建立過程發生在 2017.05.05-2017.05.17 之間

MyKings是什么意思 
圖12

botnet.0.spreader 在投遞一組特殊的 mirai 樣本,建立botnet.-1.mirai

botnet.-1.mirai 除了運行mirai自身的行為,還會下載得到 do.arm 系列樣本

do.arm 系列樣本運行起來以后,會在本機建立socks proxy,并將所生成的隨機密碼發回給 211.23.167.180:9999

至此,以211.23.167.180:9999 為核心的 botnet.2.proxy 就建立起來了。

為了確認上述proxy 網絡會被利用,360網絡安全研究院模擬了一個 bot 向 botnet.2.proxy C2 提供了一個密碼。之后,botnet.2.proxy向360網絡安全研究院模擬的 bot 發出測試請求,要求利用 proxy 獲取www.baidu.com 網頁。

MyKings是什么意思 
圖13

圖中顯示,botnet.2.proxy執行的動作包括:

提供了用戶名: 固定為admin

提供了口令:???????? 。這個口令是360網絡安全研究院之前隨機生成、并提供給 botnet.2.proxy 的。這里口令做了掩碼處理,以減少360網絡安全研究院工作IP的暴露風險

要求訪問 http://www.baidu.com

在得到了回應的頁面后,botnet.2.proxy 沉寂不再與360網絡安全研究院控制的bot聯系。

botnet.2.rat 一個RAT僵尸網絡

botnet.2.rat 在 Cyphort 的文檔中已經批露,概要信息如下:

是由botnet.0.spreader 直接建立的

投遞樣本 sha256sum:e6fc79a24d40aea81afdc7886a05f008385661a518422b22873d34496c3fb36b

樣本中包含C2 pc.5b6b7b.info

上述情況與360網絡安全研究院的觀察一致。

botnet.3.miner 一個挖礦網絡

360網絡安全研究院觀察到的botbet.3.miner 的特征包括:

MinerPool:pool.minexmr.com:5555

WalletID:

1.  47Tscy1QuJn1fxHiBRjWFtgHmvqkW71YZCQL33LeunfH4rsGEHx5UGTPdfXNJtMMATMz8bmaykGVuDFGWP3KyufBSdzxBb2--> Total Paid: 2000+ xmr

2.  45bbP2muiJHD8Fd5tZyPAfC2RsajyEcsRVVMZ7Tm5qJjdTMprexz6yQ5DVQ1BbmjkMYm9nMid2QSbiGLvvfau7At5V18FzQ--> Total Paid: 6000+ xmr

MinerPoolPass:x

在火絨實驗室的文檔里提及了挖礦僵尸網絡,但是未給出特征細節,無法判定是否 botnet.0 僅推廣了一個挖礦網絡。

botnet.4.rat 另一個RAT僵尸網絡

botnet.4.rat 沒有被其他安全廠商批露過。概要信息如下:

下載鏈接:http://104.37.245.82:8888/nb.dat

樣本中包含C2 nb.ruisgood.ru

近況

2018.1.17 開始,針對 1433 端口的掃描流量有明顯的下降趨勢,從360網絡安全研究院對此 Botnet 的跟蹤來看,此前支撐該 Botnet 的主要 C2 之一 67.229.144.218 停止服務。隨后,2018.1.23 凌晨360網絡安全研究院發現一個新的 C2 IP 上線: 67.229.99.82。

另外,360網絡安全研究院發現該團伙還在陸續更新 Botnet 后面其他的基礎設施

新的樣本下載 FTP 服務器 ftp://ftp.ftp0118.info/,口令 test:1433;

新的樣本&云端配置文件服務器 down.down0116.info;

新的新浪博客賬號以及 3 篇新的新浪博客 Post。

在2018.1.17~2018.1.21 這段時間,針對 1433 端口的掃描流量有一個明顯的波谷,360網絡安全研究院懷疑這與該團伙的基礎設施變動有直接關系:

MyKings是什么意思
圖14

以上是“MyKings是什么意思”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

通州区| 循化| 淅川县| 合水县| 安国市| 峨眉山市| 泾川县| 含山县| 微博| 扎赉特旗| 鹰潭市| 咸宁市| 中山市| 西吉县| 桑日县| 定西市| 兖州市| 巴南区| 东平县| 玉屏| 勐海县| 台前县| 南宫市| 修武县| 天峻县| 哈尔滨市| 营山县| 平罗县| 庆安县| 开阳县| 延安市| 五家渠市| 霍州市| 长泰县| 黄冈市| 云梦县| 慈利县| 射洪县| 舞阳县| 梨树县| 皋兰县|