【科讯】MyKings僵尸互联网最新变种多次加密混淆，后续或进行更猛烈攻击

本篇文章1128字，读完约3分钟

继今年5月用nsis脚本挖掘门罗货币后，mykings僵尸互联网再次迎来了更新。 最近，根据腾讯智能安全御见威胁信息中心的监视，mykings僵尸互联网的最新变种样品的无杀戮度极高，加密手段多，使用高度攻击的妙招，增加了安全检查的难度。 mykings僵尸网络积极扩散能力强，影响范围广，对公司顾客的危害极为严重。

从c c域名的监测来看，mykings僵尸互联网的本回合更新从9月4日开始，攻击了有限范围内的部分客户。 现在非法黑客关闭了c服务器，腾讯安全技术安全专家初步评价非法黑客可能正在进行测试，以防下次攻击。

(图:腾讯智能安全御见威胁信息中心数据监测)

mykings僵尸互联网从去年2月左右开始出现，通过扫描网络上的1433和其他多个端口渗透到客户端主机，包括ddos、proxy (代理服务)、rat (远程控制特洛伊木马)、miner mykings僵尸互联网的最新变种最有利于利用非法黑客感染的计算机启动代理服务，感染的计算机可能会成为攻击其他系统的跳板。 由于mykings僵尸网络积极扩散能力强，影响范围广，腾讯知识安全御见威胁信息中心将继续关注mykings僵尸网络。

这次mykings僵尸互联网的最新变种是通过攻击命令入侵客户的计算机，通过powershell下载king.ps1脚本。 该脚本多次被混淆加密，具有自我更新和横向移动扩散功能。 横向扩散后，这个特洛伊木马将利用永恒的蓝色和密码提取神器mimikatz对客户端计算机进行攻击。

除了在自我更新、横向移动时多次混淆加密以外，mykings僵尸互联网的最新变种在payload、bypassuac部分也通过使用加密混淆脚本的伪装方法来掩盖攻击意图，避免了安全软件的检测 此外，攻击脚本还选择绕过windows uac，避免在执行危险操作时被操作系统的安全功能注意到并被拦截。

(图:删除模糊的king.ps1脚本)

腾讯执事安全专家、腾讯安全病毒对策实验室负责人军队强松表示，这次mykings僵尸互联网的更新使用了极其多的复杂的加密和模糊化技术，大大增加了无杀的能力，其中之一 另外，捕获的样本没有其他可以执行二进制着陆的，利用的二进制恶意工具的一部分被加密并硬编码到脚本中，在执行时直接注入相关进程，安全软件的检测变得困难。

(图:腾讯安全公司级产品控制点)

对此，马强松建议广大公司客户关闭不必要的端口，不要给非法黑客机会，而且LAN客户不要采用弱密码和统一密码，要加强系统内部的防御。 公司客户下载并安装御点终端的安全管理系统，通过终端病毒消除和脆弱性的统一管理以及战略管理等各方面的安全管理功能，全面理解和管理公司内部网的安全状况，以保护公司安全为目的