作為 2018年度最為活躍的挖礦木馬之一，KingMiner今年以來仍在試圖通過不斷的變種攫取企業(yè)用戶利益。近日，騰訊安全御見威脅情報中心監(jiān)測到一例通過爆破攻擊MSSQL服務(wù)器進(jìn)行挖礦的KingMiner變種木馬。截止目前，受攻擊電腦數(shù)量已達(dá)上萬臺。

(圖：KingMiner挖礦木馬變種攻擊流程)

　　此次卷土重來的KingMiner挖礦木馬事件中不難看出，作案團伙展現(xiàn)出了更為多樣的作案能力。其采用“白+黑”方式啟動木馬DLL，利用谷歌等多個知名公司含數(shù)字簽名的文件來躲避殺軟檢測，嚴(yán)重威脅企業(yè)數(shù)據(jù)安全。目前，騰訊安全終端安全管理系統(tǒng)已對該惡意行為進(jìn)行全面攔截并查殺。

(圖：騰訊安全終端安全管理系統(tǒng))

　　實際上，網(wǎng)絡(luò)黑產(chǎn)早已不再是散兵游勇式的單打獨斗，鏈條化運作特征的產(chǎn)業(yè)模式日趨完善。據(jù)騰訊安全御見威脅情報中心監(jiān)測發(fā)現(xiàn)，此次KingMiner挖礦木馬新變種，兼具逃避殺軟檢測、清除挖礦競品、持久化攻擊等特點。該木馬首先會根據(jù)不同系統(tǒng)版本下載不同Payload文件，進(jìn)行提權(quán)以及門羅幣挖礦;同時安裝WMI定時器和Windows計劃任務(wù)來反復(fù)執(zhí)行指定腳本，執(zhí)行服務(wù)器返回的惡意代碼達(dá)到持久化攻擊的目的。關(guān)閉存在CVE-2019-0708漏洞機器上RDP服務(wù)防止其他挖礦團伙入侵，獨占已控制的服務(wù)器資源;最后，使用base64和特定編碼的XML，TXT，PNG文件來加密木馬程序。

　　此次更新后KingMiner挖礦木馬的殺傷力不言而喻，一旦爆破成功后，除了挖礦還可能導(dǎo)致關(guān)鍵信息泄露，對企業(yè)危害嚴(yán)重。據(jù)監(jiān)測數(shù)據(jù)統(tǒng)計，此次有上萬家企業(yè)受到KingMiner挖礦木馬攻擊影響，廣東、重慶、北京、上海等地由于經(jīng)濟發(fā)達(dá)，成為本次攻擊受害較嚴(yán)重的區(qū)域。

(圖：KingMiner挖礦木馬影響地區(qū)分布)

　　自2018年6月在全球大范圍爆發(fā)以來，KingMiner挖礦木馬已衍生了多個變種版本。病毒作者一般針對Windows服務(wù)器MSSQL進(jìn)行攻擊，利用SQL Server弱口令爆破獲取系統(tǒng)權(quán)限，進(jìn)而植入挖礦木馬，給網(wǎng)絡(luò)安全造成了極大的威脅。同時，攻擊者還采用了多種逃避技術(shù)，繞過虛擬機環(huán)境和安全檢測，導(dǎo)致部分反病毒引擎無法準(zhǔn)確檢測，給用戶網(wǎng)絡(luò)帶來巨大安全隱患。

　　為進(jìn)一步免受KingMiner挖礦木馬的危害，騰訊安全反病毒實驗室負(fù)責(zé)人馬勁松提醒廣大企業(yè)用戶，建議加固SQL Server服務(wù)器，修補服務(wù)器安全漏洞和使用安全密碼策略;修改SQL Sever服務(wù)默認(rèn)端口，在原始配置基礎(chǔ)上更改默認(rèn)1433端口設(shè)置，并且設(shè)置訪問規(guī)則，拒絕1433端口探測;同時使用安全的密碼策略，使用高強度密碼，防止不法黑客暴力破解。此外，還可通過微軟官方公告修復(fù)特權(quán)提升漏洞CVE-2019-0803。(下載地址：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0803)

(圖：騰訊安全高級威脅檢測系統(tǒng))

　　就目前不法黑客攻擊手法來看，提升技術(shù)手段和使用可靠的網(wǎng)絡(luò)安全產(chǎn)品，是阻斷不法分子入侵的有效方式。對此，騰訊安全技術(shù)專家建議企業(yè)全網(wǎng)安裝騰訊安全終端安全管理系統(tǒng)、騰訊安全高級威脅檢測系統(tǒng)，在終端安全、邊界安全、網(wǎng)站監(jiān)測、統(tǒng)一監(jiān)測方面建立一套集風(fēng)險監(jiān)測、分析、預(yù)警、響應(yīng)和可視化為一體的安全體系，可以全方位、立體化保障企業(yè)用戶的信息安全。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。