交流中心

近年来，网站服务被黑客入侵并暴露数百上千万密码的事件已经屡见不鲜。而为了帮助用户了解自己的密码是否已经被泄露到了互联网上，Google Chrome 浏览器正在采用一种更加标准的方法。如果被 Google 检查到您的密码已被暴露，只需点击一个按钮，浏览器就会跳转到正确的网址来帮助你轻松修改密码。 http://hackernews.cc/wp-content/uploads/2020/09/1.jpg 据悉，这项功能采用了“众所周知”的解决方案，因为大多数网站都有提供标准的“修改密码”页面。而 Chrome 浏览器做到了更进一步 —— 帮助用户一件跳转！ 以 WordPress 为例，该网站的密码修改 URL 为【https://wordpress.com/.well-known/change-password】。 此外知名社交媒体平台 Twitter 的密码修改网址为【http://twitter.com/.well-known/change-password】。 http://hackernews.cc/wp-content/uploads/2020/09/2.jpg 通过集成密码泄露检查和一件跳转修改功能，Chrome 可以免除中间过程的许多麻烦。如果某些网站不支持这项功能，则谷歌会将你引导至它的主页。 按照计划，谷歌将在 2020 年 10 月发布的 Chrome 86 版本中引入这项功能，届时感兴趣的朋友可尝试手动开启或关闭该标记（flags）。 此外作为一项标准功能，其已在 Apple Safari 中得到使用…

美国联邦当局近日又锁定了一位来自马萨诸塞州的 16 岁少年，指控他在今年 7 月发生的严重攻击事件中扮演重要角色。今年 7 月，当地警方逮捕了 17 岁的格雷厄姆·克拉克（Graham Clark of Tampa）在内的三名嫌犯，指控克拉克是本次攻击的幕后主谋。 http://hackernews.cc/wp-content/uploads/2020/09/封面-1.jpg 图片为17 岁的格雷厄姆·克拉克 援引纽约时报报道，联邦特工已经确定了另一位在本次推特攻击事件中扮演更重要角色的少年。这位尚未公布姓名的少年似乎在今年 5 月与克拉克一起参与了推特攻击的策划活动。 根据纽约时报报道，这名来自马萨诸塞州的 16 岁少年还可能利用 vishing（语音钓鱼）技术入侵了该社交媒体平台更为敏感的后台系统。 7月15日，这两名少年伙同其他几名嫌犯利用窃取的推特员工凭证，发起了一场大规模的比特币骗局，利用Joe Biden, Apple, Elon Musk 和 Kanye West 等知名账号进行诈骗。 （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！原文链接：https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ 一、背景 腾讯安全威胁情报中心检测到新型挖矿木马家族MrbMiner，黑客通过SQL Server服务器弱口令爆破入侵，爆破成功后在目标系统释放C#语言编写的木马assm.exe，进一步通过该木马与C2服务器通信，然后下载门罗币挖矿木马并维持挖矿进程。挖矿木马文件通过ZIP解压缩得到，并且会伪装成各类Windows系统服务。由于该挖矿木马的C2地址、矿池账号和文件信息均包含特征字符“MRB”，腾讯安全威胁情报中心将其命名为“MrbMiner“。 MrbMiner入侵后会释放另外两个下载器installerservice.exe、PowerShellInstaller.exe，下载器会将挖矿木马安装为系统服务以实现持久化运行，同时会搜集中招系统信息（包括CPU型号、CPU数量、.NET版本信息），关闭Windows升级服务以及在Windows系统中添加后门账号以方便继续入侵控制。 MrbMiner挖矿木马会小心隐藏自身，避免被管理员发现。木马会监测任务管理器进程，当用户启动“任务管理器”进程查看系统时，挖矿进程会立刻退出，并删除相关文件。 腾讯安全专家在MrbMiner挖矿木马的FTP服务器上还发现了基于Linux系统和ARM系统的挖矿木马文件，推测MrbMiner已具备跨平台攻击能力。根据目前掌握的威胁情报数据，MrbMiner挖矿木马已控制上千台服务器组网挖矿。 腾讯安全系列产品已支持检测、…

Verizon正在扩大对量子计算技术的测试，该运营认商为该技术可以帮助保障其网络安全。一个名为量子密钥分发的技术在华盛顿特区的试点项目获得了成功，因此Verizon它现在将在全美范围内进行测试。量子计算可以解决一些传统机器不可能解决的计算问题，最著名的就是能够破解传统的加密技术。但Verizon正在探索一种不同的方式，即使用量子计算保护那些加密的网络连接。 量子密钥分配一种比量子计算更成熟的技术，允许双方共享用于保护通信的加密密钥。这项技术的一个关键因素是能够检测是否有其他人也试图进入。Verizon首席产品创新官尼基•帕尔默（Nicki Palmer）说：“基于量子的技术可以加强当今和未来的数据安全。 Verizon的试验涉及在两个地点之间实时加密和传送视频流。量子密钥是在一个光纤网络上创建和交换的，Verizon表示，这种技术可以立即发现黑客，QKD网络利用光子的量子特性来获得密码密钥，以防止窃听。它还使用量子随机数发生器连续生成加密密钥。 （稿源：cnBeta，封面源自网络。）

前言 ESET研究人员发现了迄今未记录的恶意软件家族，我们将其命名为KryptoCibule。对加密货币而言，这种恶意软件具有三重威胁。它利用受害者的资源来挖掘硬币，试图通过替换剪贴板中的钱包地址来劫持交易，并泄漏与加密货币相关的文件，同时部署多种技术来避免检测。KryptoCibule在其通信基础架构中广泛使用了Tor网络和BitTorrent协议。 该恶意软件用C编写，还使用了一些合法软件。有些东西，例如Tor和Transmission torrent客户端，与安装程序捆绑在一起。其他的则在运行时下载，包括Apache httpd和Buru SFTP服务器。图1显示了各种组件及其相互作用的概述。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1326/ 消息与封面来源：welivesecurity ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

前言 2020年7月，NVISO检测到一组恶意Excel文档，也称为“ maldocs”，它们通过VBA激活的电子表格传递恶意软件。尽管我们曾见过恶意的VBA代码和掉落的有效载荷，但创建Excel文档本身的特定方式引起了我们的注意。 恶意Excel文档的创建者使用了一种技术，使他们无需实际使用Microsoft Office即可创建装载宏的Excel工作簿。但是在这种特定工作方式下，这些文档的检测率通常低于标准maldocs。 这篇文章概述了这些恶意文档的产生方式。此外，它简要描述了观察到的有效负载，最后以建议和危害指标结尾，以帮助保护组织免受此类攻击。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1328/ 消息来源：NVISO ，封面来源：网络，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

美国工资协会（APA）披露了一个影响会员和客户的数据漏洞，此前攻击者成功地在该组织的网站登录和在线商店结账页面上安装了一个网页浏览器。 APA是一个非营利性专业协会，拥有20,000多个会员和121个APA关联的本地分会，组织培训研讨会和会议，每年有超过36,000名专业人士参加。 该组织还颁发行业认可的证书，并为专业人员提供资源文本库。 登录和财务信息被盗 大约在2020年7月23日，APA发现其网站和在线商店被攻击者攻破，攻击者收集敏感信息并将其过滤到攻击者控制的服务器上。 攻击者根据APA政府高级总监Robert Wagner 发送给受影响个人的数据泄露通知，利用组织内容管理系统（CMS）中的安全漏洞入侵APA的网站和在线商店。 一旦获得对组织站点和商店的访问权，他们就将撇取器部署在网站的登录页面和APA电子商务商店的结帐部分。 据APA的安全团队表示，该恶意活动可以追溯到2020年5月13日，大约是美国东部时间下午7:30。 APA说：“未经授权的个人可以访问登录信息（即用户名和密码）和个人支付卡信息（即信用卡信息及相关数据）。” 此外，在某些情况下，攻击者还能够访问社交媒体用户名和受影响的APA成员和客户的个人资料照片。 数据泄露背后的Magecart攻击 这种类型的攻击称为网络掠夺攻击（也称为Magecart或电子掠夺），通常是攻击者使用CMS漏洞或受感染的管理员帐户在电子商务网站上部署卡片脚本造成的。 在发现攻击后，APA立即为他们的网站和商店的CMS安装了最新的安全更新，以阻止未来的攻击。 在审查了自…

北京时间9月3日消息，印度总理莫迪个人网站的Twitter账号在周四稍早时候遭到入侵。莫迪个人网站账号narendramodi_in发布了一系列推文，要求其粉丝通过加密货币的形式向一个救济基金进行捐赠。这些推文随后被撤下。 http://hackernews.cc/wp-content/uploads/2020/09/推文截图.png Twitter证实，narendramodi_in账号遭到入侵，该公司表示已知道该账号的活动，并采取措施来保障被入侵账号的安全。“我们正在积极调查这一情况。目前，我们并未发现其他账号受影响的情况。”Twitter发言人在一份邮件声明中称。 莫迪办公室尚未就narendramodi_in账号发布的推文置评。 （稿源：凤凰网科技，封面源自网络。）

在不允许通过 Windows 注册表方式禁用之后，Microsoft Defender 再次成为了媒体关注的焦点。近日，微软为 Defender 新增了一项功能，不过安全专家表示黑客可以利用该功能下载恶意程序。 http://hackernews.cc/wp-content/uploads/2020/09/1-1.jpg 在 4.18.2007.9 或 4.18.2009.9 版本的 Microsoft Defender 应用中，微软增加了通过命令行下载文件的功能。使用方式是 MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file] 虽然该功能本身并没有漏洞，但是该功能运行运行脚本，可以启动命令行从互联网导入更多的文件，使用本地原生的 living-off-the-land（LOLBIN）文件。将该功能添加到Windows Defender中，意味着又多了一个管理员必须关注的应用，也多了一个黑客可以利用的应用。 http://hackernews.cc/wp-content/uploads/2020/09/2-1.jpg 安全研究人员 Askar 称，这些对 Microsoft Defender 驱动的命令行工具的改变可能会被攻击者滥用。换句话说，黑客可以滥用这些二进制文件，从互联网上下载任何文件，包括恶意软件。 这也意味着，用户将能够使用 Microsoft Defender 本身从互联网上下载任何文件。这不太可能是一个重大的安全漏洞，因为在你使用命令…

据外媒报道，一家联邦上诉法院周三裁定，美国国家安全局（NSA）收集美国民众的数十亿次通话和短信记录的计划是非法的，并可能违宪。然而，第九巡回上诉法院的三名法官小组一致表示，所谓的电话元数据计划在针对四名索马里移民的恐怖募捐刑事案件中发挥的作用非常小，以至于它没有破坏他们的定罪。 期待已久的判决是检察官的胜利，但法院意见中的一些措辞可以被视为对官员的某种责备，这些官员通过指出涉及Basaaly Moalin和其他三名男子的案件，2013年被圣地亚哥陪审团认定有罪，指控他们为青年党筹款。 法官Marsha Berzon的意见中包含了参考前NSA承包商和告密者爱德华-斯诺登在披露NSA元数据项目中的作用，得出的结论是，“大量收集”这些数据违反了《外国情报监视法案》（FISA）。 2001年”9·11事件”后，在美国前总统乔治·沃克·布什的领导下，通话跟踪工作在没有法院授权的情况下开始。从2006年开始，一个类似的项目被秘密的FISA法院批准，并多次更新，但第九巡回法院小组说，这些裁决在法律上有缺陷。 上诉法院仅仅停留在说监视计划绝对违宪，但驳回了司法部的论点，即根据40年前的法律先例，收集元数据不等于搜查，因为客户自愿与电话提供商分享这些信息。 “在这里，NSA收集了Moalin（以及其他数百万美国人）的电话元数据，多年来每天都在持续收集，”Berzon写道。“Moalin很可能对他的电话元数据有合理的隐私期望–至少，这是一个接近的问题。” Berzon的意见由前总统奥巴马任命的Jacqueline Nguyen法官和乔治·沃克·布…

至少自2018年以来，一家以金融科技行业为目标的攻击者改变了策略，加入了一种新的基于Python的远程访问特洛伊木马（RAT），该木马可以窃取密码、文档、浏览器cookie、电子邮件凭据和其他敏感信息。 在Cyber eason研究人员昨天发表的一项分析中，Evilnum不仅调整了其感染链，而且还部署了一个名为“ PyVil RAT”的Python RAT，它具有收集信息，截屏，捕获击键数据，打开SSH shell的功能，并且部署了新工具。 网络安全公司表示：“从2018年的第一份报告到今天，该集团的TTP已经随着不同的工具而发展，而集团继续专注于金融科技目标。”。 “这些变化包括感染链和持久性的改变，随着时间的推移正在扩展的新基础设施，以及使用新的Python脚本远程访问木马（RAT）”来监视其受感染的目标。 在过去的两年中，Evilnum与针对英国和欧盟范围内的公司的几次恶意软件攻击活动有关，这些恶意软件攻击活动涉及使用JavaScript和C＃编写的后门程序，以及通过从恶意软件服务提供商Golden Chickens购买的工具。 http://hackernews.cc/wp-content/uploads/2020/09/2-2.jpg 早在7月，APT小组就被定位为使用鱼叉式网络钓鱼电子邮件的公司，这些电子邮件包含指向托管在Google云端硬盘上的ZIP文件的链接，以窃取软件许可证，客户信用卡信息以及投资和交易文件。 虽然他们在受感染系统中获得最初立足点的作案手法保持不变，但感染程序已发生重大变化。 除了使用带有…

Bleeping Computer 援引安全研究员 Jimmy Bayne 的 Twitter 爆料称：Windows 10 的主题设置存在漏洞，恶意行为者可创建特定的主题来实施“哈希传递”（Pass-the-Hash）攻击，从而窃取用户的凭证。具体说来是，可安装与其它来源分离的主题功能，使得攻击者能够创建恶意主题文件，从而在文件打开时将用户重定向至需要输入其凭据的页面。 http://hackernews.cc/wp-content/uploads/2020/09/ac09e9d232207c2.png 据悉，只需在桌面右键点击，即可引导至“个性化 -> 主题”设置页面。用户可接着点击“保存要分享的主题”，从而创建一个名为“.deskthemepack”的文件。 http://hackernews.cc/wp-content/uploads/2020/09/37348179c2f9676.png 该方式创建的自定义主题，可通过电子邮件等渠道进行分享、下载和安装。攻击者亦可创建一个类似的“.theme”主题文件，但其中默认的壁纸设置可指向需要身份验证的网站。 http://hackernews.cc/wp-content/uploads/2020/09/7ce17adeed53f95.png 当粗心的用户不慎输入其凭据时，包含详细信息的 NTLM 哈希值将被发送到站点进行身份验证，而后攻击者就能够通过特殊的逆运算软件来暴力破解非复杂的密码。 http://hackernews.cc/wp-content/uploads…

据外媒mspoweruser报道，他们两天前曾报道过Windows Defender增加了通过命令行下载文件的功能。比如MpCmdRun.exe -DownloadFile -url [url] -path [path_to_save_file]。然而有安全研究人员表示担心，新功能增加了Windows 10的攻击能力，它可能会被用来下载恶意二进制文件。 http://hackernews.cc/wp-content/uploads/2020/09/1-4.jpg 对此，微软现在发表声明回应称：“尽管有这些报告，微软Defender杀毒软件和微软Defender ATP将仍然保护客户免受恶意软件。这些程序可以侦测经由防病毒文件下载功能下载到系统的恶意文件。” 另外微软还表示，该功能不能用于特权升级。 虽然微软否认该功能存在的安全风险，但众所周知，攻击越严重系统的安全性越低。一些用户抱怨称，他们无法通过禁用该新功能来锁定自己的电脑。 （稿源：cnBeta，封面源自网络。）

作为完善 Windows 10 开发的一个重要组成部分，微软希望联网用户允许其上传部分遥测用的系统数据。通常情况下，它会包括 CPU、内存等硬件的基础配置信息，并在传输过程中予以完全的加密。基于分析，微软得以确定系统的安全性和可靠性问题，从而为后续的修复奠定基础。 http://hackernews.cc/wp-content/uploads/2020/09/1-3.jpg 尽管微软不允许用户彻底禁用遥测收集，但你始终可以清理被 Windows 收集的相关诊断数据。 矛盾的是，虽然遥测被视作 Windows 10 开发所必须、且其它企业也在利用相同的方案来改进其软件，但一些批评人士仍将其视作微软的一项“间谍”行为。 http://hackernews.cc/wp-content/uploads/2020/09/2-3.jpg 近日，微软为 Windows 10 内置的 Windows Defender（又名 Microsoft Defender）安全软件引入了一项更改。 当检测到用户尝试通过编辑 HOSTS 文件来阻止遥测时，该软件就会发出相应的警告。 http://hackernews.cc/wp-content/uploads/2020/09/3-1.jpg 维基百科上的资料称，HOSTS 文件被用于辅助网络名称解析（即主机名称到 IP 地址的相关映射）。 但在近日的 Windows 10 更新之后，Microsoft Defender 将特别检查用户的 HOSTS 文件是否已经阻止了微软的遥测服务。 http:/…

据外媒报道，爱尔兰数据保护委员会(DPC)要求Facebook停止将用户数据从欧盟转移到美国。《华尔街日报》周三报道称，初步命令已于8月底发出。Facebook证实，爱尔兰DPC已经开始调查其从欧盟向美国传输的数据。这是欧盟公司和居民主要关心的隐私问题。 欧盟法院的决定使得允许企业将欧盟公民数据发送到美国的欧盟-美国隐私盾牌(EU-US Privacy Shield)这一行为失效。Facebook负责全球事务和通信的副总裁Nick Clegg表示，在做出这一决定后，Facebook一直有在阐明他们在如何确保国际数据传输的长期稳定方面的立场。 Clegg在周三的一份隐私声明中说道：“缺乏安全和合法的国际数据传输将损害欧盟经济、阻碍数据驱动业务的增长，就像我们在新冠中寻求复苏一样。”他表示，这可能意味着欧洲的科技公司、医院和大学不能使用美国的云服务提供商或欧盟以外的呼叫中心。“其影响将超出商业领域，还可能影响到医疗和教育等关键公共服务。” 对此，爱尔兰DPC拒绝置评。 （稿源：cnBeta，封面源自网络。）

介绍 TeamTNT是一个网络犯罪组织，其目标是包括Docker和Kubernetes实例在内的云环境。该组织先前已使用多种工具进行了记录，包括加密矿工和Amazon Web Services（AWS）凭证窃取蠕虫。 TeamTNT还被发现使用了恶意Docker镜像，该镜像可在Docker Hub上找到，以感染受害者的服务器。现在该小组正在发展。在Intezer观察到的近期攻击中，TeamTNT通过滥用Weave Scope来使用一种新技术，该工具可为用户提供对其云环境的完全访问权限，并与Docker，Kubernetes，分布式云操作系统（DC / OS）集成在一起，和AWS Elastic Compute Cloud（ECS）。攻击者安装此工具是为了映射受害者的云环境并执行系统命令，而无需在服务器上部署恶意代码。 … 更多内容请至Seebug Paper 阅读全文：https://paper.seebug.org/1333/ 消息与封面来源：INTEZER ，译者：芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

就在Visa对一款名为Baka的新型JavaScript网络掠取器发出警告之际，网络安全研究人员发现了该公司支持EMV的信用卡中的一个新缺陷，该漏洞使攻击者能够非法获取资金并诈骗持卡人和商户。 这项研究是由苏黎世联邦理工学院的一群学者发表的，它是一种PIN绕行攻击，攻击者可以利用受害者的被盗或丢失的信用卡在不知道该卡PIN的情况下进行高价值购买，甚至骗人一点销售（PoS）终端接受非真实的离线卡交易。 所有使用Visa协议的现代非接触式卡，包括Visa Credit，Visa Debit，Visa Electron和V Pay卡，都受到安全漏洞的影响，但研究人员认为它可以应用于Discover和UnionPay实施的EMV协议。然而，这个漏洞并不影响万事达、美国运通和JCB。 研究结果将在明年5月于旧金山举行的第42届IEEE 安全和隐私研讨会上进行展示。 通过MitM攻击修改卡交易资格 EMV（Europay、Mastercard和Visa的缩写）是广泛使用的智能卡支付的国际协议标准，它要求较大的金额只能从带有PIN码的信用卡中借记。 http://hackernews.cc/wp-content/uploads/2020/09/1-5.jpg 但ETH研究人员设计的设置利用了协议中的一个关键缺陷，通过Android应用程序发起中间人（MitM）攻击，“指示终端不需要PIN验证，因为持卡人验证是在消费者的设备上进行的。” 这个问题源于这样一个事实：持卡人验证方法（CVM）没有加密保护以防止修改，该方法用于验证尝试使用信用卡或…

蓝牙无线技术背后的组织今天发布了关于设备供应商如何缓解对蓝牙功能设备新攻击的指南。新发现的BLURtooth是蓝牙标准中一个名为Cross-Transport Key Derivation（CTKD）组件中的漏洞。该组件用于在两个蓝牙功能设备配对时协商和设置认证密钥。 该组件的工作原理是为蓝牙低能（BLE）和基本速率/增强数据速率（BR/EDR）标准设置两套不同的认证密钥。CTKD的作用是准备好密钥，让配对的设备决定他们要使用什么版本的蓝牙标准。它的主要用途是蓝牙 “双模式 “功能。 但根据蓝牙特别兴趣小组(SIG)和卡内基梅隆大学CERT协调中心(CERT/CC)今天发布的安全通告，攻击者可以操纵CTKD组件覆盖设备上的其他蓝牙认证密钥，并允许通过蓝牙连接的攻击者访问同一设备上的其他蓝牙功能服务/应用。 在某些版本的BLURtooth攻击中，认证密钥可以被完全覆盖，而其他认证密钥可以降级使用弱加密。所有使用蓝牙4.0到5.0标准的设备都有漏洞。蓝牙5.1标准带有可以激活和防止BLURtooth攻击的功能。 蓝牙SIG组织官员表示，他们开始通知蓝牙设备的供应商关于BLURtooth攻击，以及他们如何在使用5.1标准时减轻其影响。在撰写本文时，补丁还没有立即可用。防止BLURtooth攻击的唯一方法是控制蓝牙设备配对的环境，以防止中间人攻击，或通过社会工程（欺骗人类操作员）与流氓设备配对。 不过，蓝牙SIG组织预计在某个时间点会有补丁，并且被集成作为固件或操作系统更新提供给蓝牙备。目前，这些更新的时间表还不清楚，因为设备供应商和…

网络安全研究人员发现了一种名为“ CDRThief”的全新Linux恶意软件，该恶意软件针对IP语音（VoIP）软交换，旨在窃取电话元数据。ESET研究人员在周四的分析中说：“该恶意软件的主要目标是从受感染的软交换中窃取各种私人数据，包括呼叫详细记录（CDR）。” “要窃取此元数据，恶意软件会查询软交换使用的内部MySQL数据库。因此，攻击者充分了解了目标平台的内部体系结构。” 软交换（软件交换机的缩写）通常是VoIP服务器，允许电信网络提供对语音、传真、数据和视频流量以及呼叫路由的管理。 ESET的研究发现cdrreiver针对的是一个特定的Linux VoIP平台，即来自中国Linknat公司的VOS2009和3000软交换，并对其恶意功能进行加密，以逃避静态分析。 恶意软件首先试图从预先确定的目录列表中找到软交换配置文件，目的是访问MySQL数据库凭据，然后对其进行解密以查询数据库。 ESET的研究人员说，攻击者必须对平台二进制文件进行反向工程，以分析加密过程，并检索用于解密数据库密码的AES密钥，这表明作者对VoIP体系结构有“深入的了解”。 除了收集有关被破坏的Linknat系统的基本信息外，CDRthicker还过滤数据库的详细信息（用户名、加密密码、IP地址），并直接对MySQL数据库执行SQL查询，以便捕获与系统事件、VoIP网关和呼叫元数据相关的信息。 ESET说：“从e_syslog，e_gatewaymapping和e_cdr表中渗出的数据经过压缩，然后在渗出之前使用硬编码的RSA-1024公钥加密。因此…

感谢腾讯御见威胁情报中心来稿！原文链接：https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA 最新版Mykings会在被感染系统安装开源远程控制木马PcShare，对受害电脑进行远程控制。Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件；卸载竞品挖矿木马和旧版挖矿木马；下载“暗云”木马感染硬盘主引导记录（MBR)实现长期驻留；通过计划任务、添加启动项等实现开机自动运行等行为。 一、背景 腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马，更新后的Mykings会在被感染系统安装开源远程控制木马PcShare，对受害电脑进行远程控制：可进行操作文件、服务、注册表、进程、窗口等多种资源，并且可以下载和执行指定的程序。 Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件；卸载竞品挖矿木马和旧版挖矿木马；下载“暗云”木马感染硬盘主引导记录（MBR)实现长期驻留；通过计划任务、添加启动项等实现开机自动运行等行为。 MyKings僵尸网络最早于2017年2月左右开始出现，该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机，然后传播包括DDoS、Proxy（代理服务）、RAT（远程控制木马）、Miner（挖矿木马）、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强，影响范围较广，对企业用户危害严重。根据门罗币钱包算力1000KH/s进行推测，Mykings…