MyKings僵尸网络最新变种突袭,攻击代码多次加密混淆难以检测
从C&C域名监测来看,MyKings僵尸网络本轮更新开始于9月4日,攻击了有限范围内的部分用户。尽管目前不法黑客已经关闭了该C&C服务器,但腾讯安全技术安全专家初步判断不法黑客可能在进行一些测试,可能为下一轮的攻击做准备。
(图:腾讯智慧安全御见威胁情报中心数据监测)
据悉,MyKings僵尸网络自去年二月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入用户主机,传播包括 DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)在内的多种不同用途的恶意代码。Mykings僵尸网络最新变种主要利于不法黑客利用被感染电脑开启代理服务,被感染电脑可能成为攻击其它系统的跳板。鉴于MyKings僵尸网络主动扩散的能力较强,影响范围较广,腾讯智慧安全御见威胁情报中心会持续关注Mykings僵尸网络。
本次Mykings僵尸网络最新变种通过攻击指令入侵用户电脑,经由Powershell下载king.ps1脚本,而该脚本经过多次混淆加密,具有自我更新和横向移动扩散能力。在横向扩散时,该木马还利用永恒之蓝和“密码提取神器”Mimikatz对用户电脑进行攻击。
除了在自我更新、横向移动时多次混淆加密外,Mykings僵尸网络最新变种在payload、BypassUAC部分依然通过使用加密混淆脚本的伪装方式,掩盖攻击意图,逃避安全软件的检测。此外,攻击脚本还会选择绕过Windows UAC,避免执行危险操作时被操作系统的安全功能察觉并拦截。
(图:去混淆后的king.ps1脚本)
腾讯电脑管家安全专家、腾讯安全反病毒实验室负责人马劲松表示,本次Mykings僵尸网络更新,采用了极其复杂的加密和混淆技术,大大增加了免杀的能力,其中一个脚本就加密多达4、5次。同时,捕获的样本并无其他可执行二进制落地,其利用的部分二进制恶意工具均被加密硬编码在脚本中,执行时直接注入相关进程,提升了安全软件的检测难度。
(图:腾讯安全企业级产品御点)
对此,马劲松建议广大企业用户关闭不必要的端口,以免给不法黑客可趁之机,同时,局域网用户应避免使用弱口令和统一口令,加强系统内部防御;建议企业用户下载安装御点终端安全管理系统,通过终端杀毒和修复漏洞统一管控,以及策略管控等全方位的安全管理功能,达到全面了解、管理企业内网安全状况、保护企业安全的目的。
- 越捷航空即将开通成都
上海, 中国- Media OutReach Newswire - 2024年1月26日 - 继上海至胡志明市航线开通之... - 新濠于《2024黑珍珠餐
杜卡斯餐厅首度荣登榜单 誉珑轩蝉联本澳唯一一家三钻中菜食府 澳门 - Media OutReach ... - 立盈于博世汽车售后事
中国南京 - Media OutReach Newswire - 2024年1月25日 - 2024年1月23日,在博世汽车售... - 恒隆与清华大学恒隆房
分享研究成果 推动行业可持续增长 上海, 中国 - Media OutReach Newswire - 2024年1...