繼今年五月利用Nsis腳本挖門(mén)羅幣后，MyKings僵尸網(wǎng)絡(luò)再次迎來(lái)更新,。近日，騰訊智慧安全御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn),，MyKings僵尸網(wǎng)絡(luò)最新變種樣本免殺度極高,，且加密手段復(fù)雜，采用了較高超的攻擊技巧,，提升了安全檢測(cè)的難度,。由于MyKings僵尸網(wǎng)絡(luò)主動(dòng)擴(kuò)散能力較強(qiáng)，影響范圍較廣,，對(duì)企業(yè)用戶危害極其嚴(yán)重,。

從C&C域名監(jiān)測(cè)來(lái)看，MyKings僵尸網(wǎng)絡(luò)本輪更新開(kāi)始于9月4日,，攻擊了有限范圍內(nèi)的部分用戶,。盡管目前不法黑客已經(jīng)關(guān)閉了該C&C服務(wù)器，但騰訊安全技術(shù)安全專家初步判斷不法黑客可能在進(jìn)行一些測(cè)試,，可能為下一輪的攻擊做準(zhǔn)備,。

（圖：騰訊智慧安全御見(jiàn)威脅情報(bào)中心數(shù)據(jù)監(jiān)測(cè)）

據(jù)悉，MyKings僵尸網(wǎng)絡(luò)自去年二月左右開(kāi)始出現(xiàn),，該僵尸網(wǎng)絡(luò)通過(guò)掃描互聯(lián)網(wǎng)上 1433 及其他多個(gè)端口滲透進(jìn)入用戶主機(jī),，傳播包括 DDoS、Proxy（代理服務(wù)）,、RAT（遠(yuǎn)程控制木馬）,、Miner（挖礦木馬）在內(nèi)的多種不同用途的惡意代碼。Mykings僵尸網(wǎng)絡(luò)最新變種主要利于不法黑客利用被感染電腦開(kāi)啟代理服務(wù),，被感染電腦可能成為攻擊其它系統(tǒng)的跳板,。鑒于MyKings僵尸網(wǎng)絡(luò)主動(dòng)擴(kuò)散的能力較強(qiáng)，影響范圍較廣,，騰訊智慧安全御見(jiàn)威脅情報(bào)中心會(huì)持續(xù)關(guān)注Mykings僵尸網(wǎng)絡(luò),。

本次Mykings僵尸網(wǎng)絡(luò)最新變種通過(guò)攻擊指令入侵用戶電腦，經(jīng)由Powershell下載king.ps1腳本,，而該腳本經(jīng)過(guò)多次混淆加密,，具有自我更新和橫向移動(dòng)擴(kuò)散能力。在橫向擴(kuò)散時(shí),，該木馬還利用永恒之藍(lán)和“密碼提取神器”Mimikatz對(duì)用戶電腦進(jìn)行攻擊,。

除了在自我更新、橫向移動(dòng)時(shí)多次混淆加密外,，Mykings僵尸網(wǎng)絡(luò)最新變種在payload,、BypassUAC部分依然通過(guò)使用加密混淆腳本的偽裝方式，掩蓋攻擊意圖,，逃避安全軟件的檢測(cè),。此外,，攻擊腳本還會(huì)選擇繞過(guò)Windows UAC，避免執(zhí)行危險(xiǎn)操作時(shí)被操作系統(tǒng)的安全功能察覺(jué)并攔截,。

（圖：去混淆后的king.ps1腳本）

騰訊電腦管家安全專家,、騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松表示，本次Mykings僵尸網(wǎng)絡(luò)更新,，采用了極其復(fù)雜的加密和混淆技術(shù),，大大增加了免殺的能力，其中一個(gè)腳本就加密多達(dá)4,、5次,。同時(shí)，捕獲的樣本并無(wú)其他可執(zhí)行二進(jìn)制落地,，其利用的部分二進(jìn)制惡意工具均被加密硬編碼在腳本中,，執(zhí)行時(shí)直接注入相關(guān)進(jìn)程,，提升了安全軟件的檢測(cè)難度,。

（圖：騰訊安全企業(yè)級(jí)產(chǎn)品御點(diǎn)）

對(duì)此,，馬勁松建議廣大企業(yè)用戶關(guān)閉不必要的端口,，以免給不法黑客可趁之機(jī),，同時(shí),，局域網(wǎng)用戶應(yīng)避免使用弱口令和統(tǒng)一口令,，加強(qiáng)系統(tǒng)內(nèi)部防御,；建議企業(yè)用戶下載安裝御點(diǎn)終端安全管理系統(tǒng),，通過(guò)終端殺毒和修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能,，達(dá)到全面了解,、管理企業(yè)內(nèi)網(wǎng)安全狀況、保護(hù)企業(yè)安全的目的,。