Mykings僵尸网络更新后增强持久性

2019年12月20日,国际网络安全公司Sophos发布研究报告,对MyKings僵尸网络感染过程中使用的恶意工具进行了分析,并指出最近MyKings新添加了bootkit功能,可有效逃避检测,建立了较强的持久性。MyKings(又名DarkCloud、Smominru)是一个由多个子僵尸网络构成的多重僵尸网络,自2017年4月底至今,该僵尸网络一直积极地扫描互联网上1433及其他多个端口,并在渗透进入受害者主机后传播包括DDoS攻击程序、代理木马、远控木马、挖矿木马在内的多种不同用途的恶意代码。 报告称,MyKings僵尸网络主要通过对MySQL、MSSQL、telnet、ssh、IPC、WMI、RDP和监控服务器中的弱用户名和密码进行爆破攻击来实现传播,并利用永恒之蓝漏洞进行横向移动。目前该僵尸网络由大约45000个受感染的主机组成,已通过恶意挖矿获得了约9000个门罗币,且仍在继续获利。Sophos公司对该僵尸网络近几年感染情况的统计结果显示,截至目前,MyKings受感染的端点总数约为43900个唯一IP地址,受感染最严重的操作系统为不同版本的Windows 7系统,占受感染主机总数的70%以上。