僵尸網絡“Mykings”

這是個由多重僵尸網絡組成的復合型僵尸網絡。該僵尸網絡會利用各種手段進行傳播，主控域名之一是*.mykings.pw ，因此稱之為“Mykings”僵尸網絡。

“Mykings”由botnet.0-botnet.4組成。botnet.0采用新型復雜的IP隨機生成算法，集成了Masscan，具有強大的掃描能力,能在短時間發動數千個IP對整個互聯網進行掃描，主要負責傳播各個子僵尸網絡。而botnet.1-4分別是mirai、proxy、rat、miner,這些不同的模塊讓Mykings能應對各種不同目標進行入侵感染，大大增加了危害性。

0x10 掃描端口或服務

“Mykings”僵尸網絡主要依靠漏洞及弱口令方式，其會掃描主機的以下端口或服務：

1).1433 #MSSQL 2).3306 #MySQL 3).135 #WMI 4).22 #SSH 5).445 #IPC 6).23 #Telnet, mirai 僵尸網絡 7).80 #Web, CCTV設備 8).3389 #RDP, Windows遠程桌面

一旦上述主機上述端口或服務存在漏洞或弱口令，便有可能被攻陷成為僵尸主機。

0x20 僵尸子網絡

“永恒之藍”進行定向挖礦的案例即是該僵尸網絡的“Miner”子網絡。可以確定，我國已有相當數量的主機已經遭受感染。在此提醒廣大客戶，避免使用弱口令，及時打全系統及應用補丁。

0x30 IOC

down.mykings.pw up.mykings.pw down.f4321y.com js.f4321y.com up.f4321y.com down.b591.com down2.b591.com dwon.kill1234.com down.mysking.info 23.27.127.254 js.mykings.top wmi.mykings.top xmr.5b6b7b.ru wmi.oo000oo.club 209.58.186.145 67.229.144.218 100.43.155.171 67.229.144.218 47.88.216.68 47.52.0.176 118.190.50.141 104.37.245.82

0x40 提取的特征[Traffic]

http://down.mykings.pw:8888/my1.html http://down.mykings.pw:8888/ups.rar http://down.mykings.pw:8888/item.dat http://up.mykings.pw:8888/ver.txt http://up.mykings.pw:8888/ups.rar http://up.mykings.pw:8888/update.txt http://up.mykings.pw:8888/wpdmd5.txt http://up.mykings.pw:8888/wpd.dat http://down.f4321y.com:8888/kill.html http://down.f4321y.com:8888/test.html http://down.f4321y.com:8888/ups.rar http://down.f4321y.com http://down.f4321y.com:8888/my1.html http://js.f4321y.com:280/v.sct http://up.f4321y.com http://up.f4321y.com:8888/ver.txt http://up.f4321y.com:8888/ups.rar http://up.f4321y.com:8888/update.txt http://up.f4321y.com:8888/wpdmd5.txt http://up.f4321y.com:8888/wpd.dat http://up.f4321y.com:8888/ups.rar http://down.b591.com:8888/ups.exe http://down.b591.com:8888/ups.rar http://down.b591.com:8888/test.html http://down.b591.com:8888/ups.rar http://down.b591.com:8888/ups.exe http://down.b591.com:8888/cab.rar http://down.b591.com:8888/cacls.rar http://down.b591.com:8888/kill.html http://down2.b591.com:8888/ups.rar http://down2.b591.com:8888/wpd.dat http://down2.b591.com:8888/wpdmd5.txt http://down2.b591.com:8888/ver.txt http://dwon.kill1234.com:280/cao.exe https://down2.b5w91.com:8443 http://down.mysking.info:8888/ok.txt http://23.27.127.254:8888/close.bat http://js.mykings.top:280/v.sct http://js.mykings.top:280/helloworld.msi http://wmi.mykings.top:8888/kill.html http://wmi.mykings.top:8888/test.html http://209.58.186.145:8888/close2.bat http://67.229.144.218:8888/update.txt http://67.229.144.218:8888/ps.jpg http://67.229.144.218:8888/update.txt http://67.229.144.218:8888/my1.html http://67.229.144.218:8888/ver.txt http://67.229.144.218:8888/test.dat http://down.down0116.info http://down.down0116.info/up.rar http://down.down0116.info/down.txt ftp://ftp.ftp0118.info/a.exe botnet.-1.mirai http://100.43.155.171:280/mirai/ botnet.1.proxy http://100.43.155.171:280/do/ botnet.2.rat http://67.229.144.218:8888/test1.dat http://47.88.216.68:8888/test.dat http://47.52.0.176:8888/item.dat http://118.190.50.141:8888/test.dat botnet.3.miner http://104.37.245.82:8888/32.rar ftp://ftp.oo000oo.me/s.rar http://198.148.80.194:8888/0121.rar ftp://ftp.ftp0118.info/s.rar botnet.4.rat http://104.37.245.82:8888/nb.dat

注：MyKings僵尸網絡報告

New(ish) Mirai Spreader Poses New Risks

總結

以上是生活随笔為你收集整理的僵尸网络“Mykings”的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。