一、概述
MyKings僵尸网络2017 年 2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括 DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。
Mykings僵尸网络的主要更新点:
1.新增IP、域名、URL;
2.大量采用POWERSHELL脚本进行“无文件”落地攻击;
3.在清理竞争对手挖矿木马名单中增加了“新冠”挖矿木马;
4.使用挖矿账号登陆,隐藏了钱包地址;
5.新增白利用文件;
6.不同系统版本执行脚本不同;
7.获取windows登陆密码。
攻击流程:
二、解决方案
运维人员可参考以下方法手动清除Windows系统感染的挖矿木马,企业用户亦可使用腾讯T-Sec终端安全管理系统(腾讯御点)查杀病毒,参考安全建议提升服务器的安全性。
删除以下病毒文件:
C:\Windows\debug\lsmose.exe C:\Windows\debug\lsmos.exe C:\Windows\debug\lsmo.exe C:\Program Files (x86)\Common Files\csrw.exe C:\Progra~1\Common Files\csrw.exe c:\windows\help\lsmosee.exe c:\windows\help\akpls.exe c:\windows\inf\lsmma.exe c:\windows\inf\lsmm.exe c:\windows\inf\lsmmaa.exe c:\windows\system32\new.exe c:\windows\system32\upsupx.exe c:\windows\inf\aspnet\lsma.exe c:\windows\inf\aspnet\lsmab.exe c:\windows\inf\aspnet\lsmaaa.exe c:\windows\inf\aspnet\lsma30.exe c:\windows\inf\aspnet\lsma31.exe c:\\windows\java\java.exe c:\windows\inf\aspnet\lsma12.exe c:\windows\debug\ok.dat c:\windows\debug\item.dat c:\windows\update.exe c:\windows\temp\servtestdos.dll C:\WINDOWS\Fonts\cd c:\windows\help\get.exe c:\windows\inf\aspnet\u.exe c:\windows\inf\winnts.exe c:\windows\temp\svchost.exe c:\windows\temp\conhost1.exe
删除病毒添加的计划任务
Mysa Mysa1 Mysa2 Mysa3 ok oka
删除病毒添加的WMI事件启动项
fuckyoumm2_filter fuckyoumm2_consumer Windows Events Filter Windows Events Consumer4 Windows Events Consumer fuckayoumm3 fuckayoumm4
安全建议
1. Mysql端口非必要情况不要暴露在公网,使用足够强壮的Mysql口令;
2. 修复MS010-17 “永恒之蓝”漏洞,服务器暂时关闭不必要的端口(如135、139、445)。
三、详细分析
mykings本次活动通过mssql爆破手段攻击windows服务器,奇热根据系统版本下发不同的脚本。
WIN10以下主要是对windows def