僵尸网络“Mykings”

其他 2018-07-13 03:37:13 阅读次数: 0

僵尸网络“Mykings”

这是个由多重僵尸网络组成的复合型僵尸网络。该僵尸网络会利用各种手段进行传播,主控域名之一是*.mykings.pw ,因此称之为“Mykings”僵尸网络。

“Mykings”由botnet.0-botnet.4组成。botnet.0采用新型复杂的IP随机生成算法,集成了Masscan,具有强大的扫描能力,能在短时间发动数千个IP对整个互联网进行扫描,主要负责传播各个子僵尸网络。而botnet.1-4分别是miraiproxyratminer,这些不同的模块让Mykings能应对各种不同目标进行入侵感染,大大增加了危害性。

0x10 扫描端口或服务

“Mykings”僵尸网络主要依靠漏洞及弱口令方式,其会扫描主机的以下端口或服务:

1).1433 #MSSQL
2).3306 #MySQL
3).135 #WMI
4).22 #SSH
5).445 #IPC
6).23 #Telnet, mirai 僵尸网络
7).80 #Web, CCTV设备
8).3389 #RDP, Windows远程桌面

一旦上述主机上述端口或服务存在漏洞或弱口令,便有可能被攻陷成为僵尸主机。

0x20 僵尸子网络

永恒之蓝进行定向挖矿的案例即是该僵尸网络的“Miner”子网络。可以确定,我国已有相当数量的主机已经遭受感染。在此提醒广大客户,避免使用弱口令,及时打全系统及应用补丁。

0x30 IOC

down.mykings.pw
up.mykings.pw 
down.f4321y.com
js.f4321y.com
up.f4321y.com 
down.b591.com
down2.b591.com
dwon.kill1234.com
down.mysking.info
23.27.127.254
js.mykings.top
wmi.mykings.top
xmr.5b6b7b.ru
wmi.oo000oo.club
209.58.186.145
67.229.144.218
100.43.155.171
67.229.144.218
47.88.216.68
47.52.0.176
118.190.50.141
104.37.245.82

0x40 提取的特征[Traffic]

http://down.mykings.pw:8888/my1.html 
http://down.mykings.pw:8888/ups.rar 
http://down.mykings.pw:8888/item.dat 
http://up.mykings.pw:8888/ver.txt 
http://up.mykings.pw:8888/ups.rar 
http://up.mykings.pw:8888/update.txt 
http://up.mykings.pw:8888/wpdmd5.txt 
http://up.mykings.pw:8888/wpd.dat 
http://down.f4321y.com:8888/kill.html 
http://down.f4321y.com:8888/test.html 
http://down.f4321y.com:8888/ups.rar 
http://down.f4321y.com 
http://down.f4321y.com:8888/my1.html 
http://js.f4321y.com:280/v.sct 
http://up.f4321y.com 
http://up.f4321y.com:8888/ver.txt 
http://up.f4321y.com:8888/ups.rar 
http://up.f4321y.com:8888/update.txt 
http://up.f4321y.com:8888/wpdmd5.txt 
http://up.f4321y.com:8888/wpd.dat 
http://up.f4321y.com:8888/ups.rar 
http://down.b591.com:8888/ups.exe 
http://down.b591.com:8888/ups.rar 
http://down.b591.com:8888/test.html 
http://down.b591.com:8888/ups.rar 
http://down.b591.com:8888/ups.exe 
http://down.b591.com:8888/cab.rar 
http://down.b591.com:8888/cacls.rar 
http://down.b591.com:8888/kill.html 
http://down2.b591.com:8888/ups.rar 
http://down2.b591.com:8888/wpd.dat 
http://down2.b591.com:8888/wpdmd5.txt 
http://down2.b591.com:8888/ver.txt 
http://dwon.kill1234.com:280/cao.exe 
https://down2.b5w91.com:8443 
http://down.mysking.info:8888/ok.txt 
http://23.27.127.254:8888/close.bat 
http://js.mykings.top:280/v.sct 
http://js.mykings.top:280/helloworld.msi 
http://wmi.mykings.top:8888/kill.html 
http://wmi.mykings.top:8888/test.html 
http://209.58.186.145:8888/close2.bat 
http://67.229.144.218:8888/update.txt 
http://67.229.144.218:8888/ps.jpg 
http://67.229.144.218:8888/update.txt 
http://67.229.144.218:8888/my1.html 
http://67.229.144.218:8888/ver.txt 
http://67.229.144.218:8888/test.dat 
http://down.down0116.info 
http://down.down0116.info/up.rar 
http://down.down0116.info/down.txt
ftp://ftp.ftp0118.info/a.exe
botnet.-1.mirai 
http://100.43.155.171:280/mirai/
botnet.1.proxy 
http://100.43.155.171:280/do/
botnet.2.rat 
http://67.229.144.218:8888/test1.dat 
http://47.88.216.68:8888/test.dat 
http://47.52.0.176:8888/item.dat 
http://118.190.50.141:8888/test.dat
botnet.3.miner 
http://104.37.245.82:8888/32.rar 
ftp://ftp.oo000oo.me/s.rar 
http://198.148.80.194:8888/0121.rar 
ftp://ftp.ftp0118.info/s.rar
botnet.4.rat 
http://104.37.245.82:8888/nb.dat

注:MyKings僵尸网络报告

New(ish) Mirai Spreader Poses New Risks

猜你喜欢

转载自blog.csdn.net/zmeixuan/article/details/79161768
今日推荐
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
《美国对全球网络空间安全与发展的威胁和破坏》报告发布
火速冲上 GitHub 热榜 —— 开源编程语言、框架哪有这么可爱?
北京人形机器人创新中心发布全球首个纯电驱拟人奔跑的全尺寸人形机器人“天工”
周排行
rbac——界面、权限
Apache CXF + SpringMVC 整合发布WebService
so插件化
Vue.js实战系列---图标字体制作(svg格式)
PAT乙级 1007 素数对猜想(孪生素数对) (20分) ---(C语言 + 详细注释)
被IRM保护的文档,打开失败
Calendar和Date计算日期差的小问题
win10子系统ubuntu18.4安装docker
利用Wrap Shell Script定位Android Native内存泄漏
MySQL: Transaction (Part I - Basic Concept)
每日归档
更多
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)
2024-04-28(0)
2024-04-27(56)
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022