僵尸网络“Mykings”
这是个由多重僵尸网络组成的复合型僵尸网络。该僵尸网络会利用各种手段进行传播,主控域名之一是*.mykings.pw
,因此称之为“Mykings”僵尸网络。
“Mykings”由botnet.0-botnet.4
组成。botnet.0
采用新型复杂的IP随机生成算法,集成了Masscan
,具有强大的扫描能力,能在短时间发动数千个IP对整个互联网进行扫描,主要负责传播各个子僵尸网络
。而botnet.1-4
分别是mirai
、proxy
、rat
、miner
,这些不同的模块让Mykings
能应对各种不同目标进行入侵感染,大大增加了危害性。
0x10 扫描端口或服务
“Mykings”僵尸网络主要依靠漏洞及弱口令方式,其会扫描主机的以下端口或服务:
1).1433 #MSSQL
2).3306 #MySQL
3).135 #WMI
4).22 #SSH
5).445 #IPC
6).23 #Telnet, mirai 僵尸网络
7).80 #Web, CCTV设备
8).3389 #RDP, Windows远程桌面
一旦上述主机上述端口或服务存在漏洞或弱口令,便有可能被攻陷成为僵尸主机。
0x20 僵尸子网络
“永恒之蓝”进行定向挖矿的案例即是该僵尸网络的“Miner”子网络。可以确定,我国已有相当数量的主机已经遭受感染。在此提醒广大客户,避免使用弱口令,及时打全系统及应用补丁。
0x30 IOC
down.mykings.pw
up.mykings.pw
down.f4321y.com
js.f4321y.com
up.f4321y.com
down.b591.com
down2.b591.com
dwon.kill1234.com
down.mysking.info
23.27.127.254
js.mykings.top
wmi.mykings.top
xmr.5b6b7b.ru
wmi.oo000oo.club
209.58.186.145
67.229.144.218
100.43.155.171
67.229.144.218
47.88.216.68
47.52.0.176
118.190.50.141
104.37.245.82
0x40 提取的特征[Traffic]
http://down.mykings.pw:8888/my1.html
http://down.mykings.pw:8888/ups.rar
http://down.mykings.pw:8888/item.dat
http://up.mykings.pw:8888/ver.txt
http://up.mykings.pw:8888/ups.rar
http://up.mykings.pw:8888/update.txt
http://up.mykings.pw:8888/wpdmd5.txt
http://up.mykings.pw:8888/wpd.dat
http://down.f4321y.com:8888/kill.html
http://down.f4321y.com:8888/test.html
http://down.f4321y.com:8888/ups.rar
http://down.f4321y.com
http://down.f4321y.com:8888/my1.html
http://js.f4321y.com:280/v.sct
http://up.f4321y.com
http://up.f4321y.com:8888/ver.txt
http://up.f4321y.com:8888/ups.rar
http://up.f4321y.com:8888/update.txt
http://up.f4321y.com:8888/wpdmd5.txt
http://up.f4321y.com:8888/wpd.dat
http://up.f4321y.com:8888/ups.rar
http://down.b591.com:8888/ups.exe
http://down.b591.com:8888/ups.rar
http://down.b591.com:8888/test.html
http://down.b591.com:8888/ups.rar
http://down.b591.com:8888/ups.exe
http://down.b591.com:8888/cab.rar
http://down.b591.com:8888/cacls.rar
http://down.b591.com:8888/kill.html
http://down2.b591.com:8888/ups.rar
http://down2.b591.com:8888/wpd.dat
http://down2.b591.com:8888/wpdmd5.txt
http://down2.b591.com:8888/ver.txt
http://dwon.kill1234.com:280/cao.exe
https://down2.b5w91.com:8443
http://down.mysking.info:8888/ok.txt
http://23.27.127.254:8888/close.bat
http://js.mykings.top:280/v.sct
http://js.mykings.top:280/helloworld.msi
http://wmi.mykings.top:8888/kill.html
http://wmi.mykings.top:8888/test.html
http://209.58.186.145:8888/close2.bat
http://67.229.144.218:8888/update.txt
http://67.229.144.218:8888/ps.jpg
http://67.229.144.218:8888/update.txt
http://67.229.144.218:8888/my1.html
http://67.229.144.218:8888/ver.txt
http://67.229.144.218:8888/test.dat
http://down.down0116.info
http://down.down0116.info/up.rar
http://down.down0116.info/down.txt
ftp://ftp.ftp0118.info/a.exe
botnet.-1.mirai
http://100.43.155.171:280/mirai/
botnet.1.proxy
http://100.43.155.171:280/do/
botnet.2.rat
http://67.229.144.218:8888/test1.dat
http://47.88.216.68:8888/test.dat
http://47.52.0.176:8888/item.dat
http://118.190.50.141:8888/test.dat
botnet.3.miner
http://104.37.245.82:8888/32.rar
ftp://ftp.oo000oo.me/s.rar
http://198.148.80.194:8888/0121.rar
ftp://ftp.ftp0118.info/s.rar
botnet.4.rat
http://104.37.245.82:8888/nb.dat