MyKings是什么意思

這篇文章主要為大家展示了“MyKings是什么意思”，內容簡而易懂，條理清晰，希望能夠幫助大家解決疑惑，下面讓小編帶領大家一起研究并學習一下“MyKings是什么意思”這篇文章吧。

MyKings 是一個由多個子僵尸網絡構成的多重僵尸網絡，2017 年 4 月底以來，該僵尸網絡一直積極地掃描互聯網上 1433 及其他多個端口，并在滲透進入受害者主機后傳播包括 DDoS、Proxy、RAT、Miner 在內的多種不同用途的惡意代碼。360網絡安全研究院將其命名為 MyKings，原因之一來自該僵尸網絡的一個主控域名 *.mykings[.]pw。    

MyKings 并不是一個新的僵尸網絡，在360網絡安全研究院之前有若干對該僵尸網絡組件的分析（詳見 <友商披露情況> 一節），但在本次批露之前，各家分析都沒有形成完整的拼圖，也未見有效行動遏制該僵尸網絡的擴散。

2017 年 5 月 23 日，360網絡安全研究院第一次聯系到新浪安全團隊，并隨后采取了多輪聯合行動。新浪安全團隊關閉了 MyKings 的上聯 URL，并向360網絡安全研究院提供了相關的訪問日志。聯合行動有效遏制了該僵尸網絡的擴散，也希望能為后續其他聯合行動掃清障礙。被關閉的這些上聯 URL 如下：

     
圖1

Mykings 本身模塊化，構成很復雜, 本 Blog 是個概述，具體技術分析的內容見文末的 2 份 PDF 文檔。

MyKings 的感染范圍和流行程度

統計 2017 年 5 月底前述被關閉的上聯 URL 的訪問來源 IP 數可知，獨立來源 IP 總數1,183,911 個，分布在遍布全球 198 個國家和地區。其中來源 IP 超過 100,000 的國家和地區有四個，分別是俄羅斯、印度、巴西和中國。

   
圖2

   
圖3    

另外，在域名流行程度方面，最為流行的域名是 up.f4321y.com ：

該域名DNS被請求頻率超過 2.5m/每日

該域名流行程度排行，歷史最高79753 名，目前穩定在8萬～9萬之間。

   
圖4    

MyKings的組成

MyKings 是一組多個子僵尸網絡的混合體，其簡要結構如下圖所示。

   
圖5

   
圖6    

如上兩圖：

攻擊者使用Scanner(msinfo.exe) 掃描滲透進入受害者主機后，會自動嘗試下載惡意代碼。下載 URL 中的IP 部分被編碼在受控的 Blog 頁面中；

Blog 頁面中編碼的 IP 地址是指向 Dropper(ups.rar) 的，這個配置項可以由攻擊者在云端動態調整；部分 Blog 頁面已經被前述聯合行動關閉；

Dropper 服務器上提供了惡意代碼和對應的啟動腳本的下載，這些內容同樣可以由攻擊者在云端動態調整；

360網絡安全研究院觀察到所下載的惡意代碼有 Mirai, Proxy，RAT和 Miner。

明確上述結構以后，使得360網絡安全研究院可以將整個 MyKings 劃分為多個子僵尸網絡，并逐一標記各子僵尸網絡的特征如下表：

 
圖7

各子僵尸網絡相互之間的構建關系如下表所示：

 
圖8

從上述兩個表中360網絡安全研究院可以得出以下結論：

botnet.-1/1/2/3/4 各自擁有獨立的上聯控制端，僅在構建過程中需要 botnet.0 支撐，構建完成后的運營階段可以各自獨立、不再相互依賴；

botnet.0 支撐了多數其他子僵尸網絡的構建過程。再考慮到360網絡安全研究院在botnet.0 的所有代碼中沒有看到其他任何惡意行為，360網絡安全研究院傾向認為 botnet.0 是一個專注做惡意代碼推廣的網絡 。

botnet.1.proxy 的推廣者不是 botnet.0，而是 botnet.-1，這是個例外。不過，上述推廣行為僅在早期持續了很少一段時間，主要的惡意代碼推廣仍然由 botnet.0 完成。

MyKings.botnet.0.spreader

botnet.0 是居于核心地位的一個僵尸網絡，除了傳播其他僵尸網絡以外，該僵尸網絡并沒有其他惡意行為，聚焦在掃描資源建設和建立后續其他僵尸網絡上。該僵尸網絡有以下特點：

服務器基礎設施規模龐大

積極改進感染代碼和能力

向后繼僵尸網絡的投入提供了定義良好的編程接口

botnet.0 的基礎設施能力

botnet.0 擁有在幾個小時動員 2400 個主機IP地址發起掃描的能力。如果360網絡安全研究院假定每個主機 IP 地址需要 30 元人民幣（5美元），這就意味著botnet.0一次性投入了超過7萬元人民幣（12,000美元）。

基于如此強大的服務器基礎設施，當前 botnet.0 貢獻了整個互聯網范圍內 1433 端口掃描的主要部分。而全部 1433 端口上的掃描，根據360網絡安全研究院的 scanmon系統(scan.netlab.360.com)顯示的數據，高峰時期在 30~40m/d，目前穩定在 1.5m/d，與 23 端口（Mirai / Hajime）在伯仲之間。

前面提到一次性動員的 2400+個主機IP地址包括：

123.207.0.0/161150個

122.114.0.0/161255個

360網絡安全研究院檢測到上述主機集中發起掃描的時間在 2017.04.25 08:00:00 附近，當時在 scan.netlab.360.com 上能看到的 1433 端口的掃描情況如下。

 
圖9

可以觀察到當天上午8：00開始，1433端口上的掃描有了一個巨大的暴增。暴增前每日掃描事件約為5m/d，之后突增到30～40m/d。

觀察這些活躍IP在C類段（/24）中的排名，前100的C類段中有99個來自前述兩個B類段。考慮到這些IP地址段行為規律一致、時間窗口集中，360網絡安全研究院將這些IP地址歸入 MyKings 的資源池。

 
圖10

botnet.0 的掃描和滲透能力

botnet.0 的掃描行為是由于其 msinfo.exe 進程發起的。該進程會拉取云端的 wpd.dat 配置文件，配合云端機制發起掃描，并且隨著版本更迭不斷改進自身掃描能力。

掃描的端口和服務如下：

o    1433 MSSQL

o    3306 MySQL

o    135 WMI

o    22 SSH

o    445 IPC

o    23 Telnet, mirai 僵尸網絡

o    80 Web, CCTV設備

o    3389 RDP, Windows遠程桌面

 掃描目標IP地址：生成機制越來越復雜

o    早期版本中， msinfo.exe 用來掃描的目標 IP 只有兩種：從云端配置文件 wpd.dat 獲取、在本地根據外網出口 IP 隨機生成；

o    最新樣本中，增加了一種更復雜的本地隨機生成算法，并且會避開一批保留地址段。

掃描方式：不斷演化，直至集成Masscan

o    早期版本中，支持 TCP Connect 和 TCP SYN 兩種掃描方式，分別對應木馬中實現的兩個掃描模塊；

o    早期版本的 msinfo.exe 中，兩種掃描方式都是自己編寫的，其中 TCP Connect 模塊用到了TheUltimate TCP/IP 函數庫中的 CUT_WSClient 類，而 TCP SYN 掃描模塊則用到了 RAWSocket 相關的 DLL 文件并自己手動構造數據包；

o    最新樣本中，在 TCP SYN 模塊集成了知名全網端口掃描器 Masscan ，并且把目標 IP 配置成 0.0.0.0/0 ，發起對全網的高速掃描。

掃描載荷

o    弱口令字典比較豐富，近百條是針對 Telnet 和 MSSQLServer；

o    獲得服務權限后，進行進一步攻擊入侵的 Palyload 也很強大，其中針對 MSSQL Server 進行注入利用的 SQL 語句格式化后有近千行。

botnet.0 提供的后繼僵尸網絡接入界面

botnet.0 向后繼僵尸網絡提供的接入界面簡明清晰，以至于從后繼其他僵尸網絡的角度來看，只需要按照接入界面要求配置安裝包下載地址，以及安裝包被下載后需要執行的腳本，安裝包就會被下載執行。至于掃描和投入階段的各種技術細節，可以交由 botnet.0 處理，自己完全不用關注。

上述接入界面包括：

靈活的云端配置文件：botnet.0.spreader的核心木馬 msinfo.exe 用到的云端配置文件 wpd.dat ，是一個加密的 XML 文檔，其中指定了暴破 Telnet 成功后用到來下載 Mirai 樣本的 C2 地址、需要掃描的網絡服務端口、暴破各個端口所需的口令、入侵各個網絡服務時執行的部分命令以及需要掃描的目標 IP 范圍等配置。這些配置都可以根據后繼僵尸網絡的要求靈活更改。

模塊化編程架構的msinfo.exe : 主要是其 Crack 模塊中通過繼承一個基類 Task_Crack ，實現其中定義好的一組連接、暴破、執行命令等功能的函數接口即可定義一個 Task_Crack_XXX 子類，繼而實現針對一個新的網絡服務的攻擊模塊。Crack 模塊與 wpd.dat 配置文件中定義的待掃描網絡服務端口相對應，可以靈活更改針對不同網絡服務的    Crack 功能。

其他輔助云端配置文件：msinfo.exe與 botnet.0.spreader 用到的另外一個輔助木馬 ups.exe ，會涉及其它云端配置文件，如 update.txt、ver.txt、my1.html、test.html、kill.html、clr.txt等。這些也都可以靈活配置，方便攻擊者控制在下一階段需要下載什么樣本、執行什么樣的命令。

被推廣的其他子僵尸網絡

botnet.0 推廣的其他僵尸網絡包括：

botnet.-1.mirai

botnet.1.proxy

botnet.2.rat

botnet.3.miner

botnet.4.rat

360網絡安全研究院使用序號來標記首次發現的順序、后綴標識給子僵尸網絡的用途。

botnet.-1.mirai

cnc.f321y.com(123.51.208.155:23) 是一個 mirai 僵尸網絡，它與 MyKings 的同源關系在卡巴斯基的早期文章中已經論證。

360網絡安全研究院追溯到該C2發出的第一條攻擊指令，是在2016-12-20發出的。

 
圖11

2016-12-20 20:36123.51.208.155:23|http_flood|118.193.139.184:54321

值得一提的是指令中受害者IP地址118.193.139.184 上，曾經有若干 C2 域名同屬 MyKings 控制：

2016-04-0115:55:56 2016-12-27 19:14:42 pc.kill1234.com 118.193.139.184

2016-04-2413:07:50 2016-12-27 19:02:22 xq.kill1234.com 118.193.139.184

botnet.1.proxy

botnet.1.proxy 是一個代理網絡。這個網絡不是由botnet.0.spreader直接創建，而是通過 botnet.-1.mirai 間接建立的。360網絡安全研究院觀察到以上建立過程發生在 2017.05.05-2017.05.17 之間

 
圖12

botnet.0.spreader 在投遞一組特殊的 mirai 樣本，建立botnet.-1.mirai

botnet.-1.mirai 除了運行mirai自身的行為，還會下載得到 do.arm 系列樣本

do.arm 系列樣本運行起來以后，會在本機建立socks proxy，并將所生成的隨機密碼發回給 211.23.167.180:9999

至此，以211.23.167.180:9999 為核心的 botnet.2.proxy 就建立起來了。

為了確認上述proxy 網絡會被利用，360網絡安全研究院模擬了一個 bot 向 botnet.2.proxy C2 提供了一個密碼。之后，botnet.2.proxy向360網絡安全研究院模擬的 bot 發出測試請求，要求利用 proxy 獲取www.baidu.com 網頁。

 
圖13

圖中顯示，botnet.2.proxy執行的動作包括：

提供了用戶名： 固定為admin

提供了口令：???????? 。這個口令是360網絡安全研究院之前隨機生成、并提供給 botnet.2.proxy 的。這里口令做了掩碼處理，以減少360網絡安全研究院工作IP的暴露風險

要求訪問 http://www.baidu.com

在得到了回應的頁面后，botnet.2.proxy 沉寂不再與360網絡安全研究院控制的bot聯系。

botnet.2.rat 一個RAT僵尸網絡

botnet.2.rat 在 Cyphort 的文檔中已經批露，概要信息如下：

是由botnet.0.spreader 直接建立的

投遞樣本 sha256sum:e6fc79a24d40aea81afdc7886a05f008385661a518422b22873d34496c3fb36b

樣本中包含C2 pc.5b6b7b.info

上述情況與360網絡安全研究院的觀察一致。

botnet.3.miner 一個挖礦網絡

360網絡安全研究院觀察到的botbet.3.miner 的特征包括：

MinerPool：pool.minexmr.com:5555

WalletID：

1.  47Tscy1QuJn1fxHiBRjWFtgHmvqkW71YZCQL33LeunfH4rsGEHx5UGTPdfXNJtMMATMz8bmaykGVuDFGWP3KyufBSdzxBb2--> Total Paid: 2000+ xmr

2.  45bbP2muiJHD8Fd5tZyPAfC2RsajyEcsRVVMZ7Tm5qJjdTMprexz6yQ5DVQ1BbmjkMYm9nMid2QSbiGLvvfau7At5V18FzQ--> Total Paid: 6000+ xmr

MinerPoolPass：x

在火絨實驗室的文檔里提及了挖礦僵尸網絡，但是未給出特征細節，無法判定是否 botnet.0 僅推廣了一個挖礦網絡。

botnet.4.rat 另一個RAT僵尸網絡

botnet.4.rat 沒有被其他安全廠商批露過。概要信息如下：

下載鏈接：http://104.37.245.82:8888/nb.dat

樣本中包含C2 nb.ruisgood.ru

近況

2018.1.17 開始，針對 1433 端口的掃描流量有明顯的下降趨勢，從360網絡安全研究院對此 Botnet 的跟蹤來看，此前支撐該 Botnet 的主要 C2 之一 67.229.144.218 停止服務。隨后，2018.1.23 凌晨360網絡安全研究院發現一個新的 C2 IP 上線： 67.229.99.82。

另外，360網絡安全研究院發現該團伙還在陸續更新 Botnet 后面其他的基礎設施

新的樣本下載 FTP 服務器 ftp://ftp.ftp0118.info/，口令 test:1433；

新的樣本&云端配置文件服務器 down.down0116.info；

新的新浪博客賬號以及 3 篇新的新浪博客 Post。

在2018.1.17~2018.1.21 這段時間，針對 1433 端口的掃描流量有一個明顯的波谷，360網絡安全研究院懷疑這與該團伙的基礎設施變動有直接關系：

圖14

以上是“MyKings是什么意思”這篇文章的所有內容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內容對大家有所幫助，如果還想學習更多知識，歡迎關注億速云行業資訊頻道！