2019-11-26 18:11
动态 | 腾讯御见:KingMiner矿工已控制上万服务器
腾讯安全御见威胁情报中心检测到KingMiner变种攻击,KingMiner是一种针对Windows服务器MS SQL进行爆破攻击的门罗币挖矿木马。该木马最早于2018年6月中旬首次出现,并在随后迅速发布了两个改进版本。攻击者采用了多种逃避技术来绕过虚拟机环境和安全检测,导致一些反病毒引擎无法准确检测。当前版本KingMiner具有以下特点:
1. 针对MSSQL进行爆破攻击入侵;
2. 利用WMI定时器和Windows计划任务进行持久化攻击;
3. 关闭存在CVE-2019-0708漏洞机器上RDP服务,防止其他挖矿团伙入侵,以独占服务器资源挖矿;
4. 使用base64和特定编码的XML、TXT、PNG文件来加密木马程序;
5. 利用微软和多个知名厂商的签名文件作为父进程,“白+黑”启动木马DLL。
根据腾讯安全御见威胁情报中心统计数据,KingMiner影响超过一万台电脑,其中受影响最严重的地区为广东、重庆、北京、上海等地。(腾讯御见威胁情报中心 )
