是2018年最活跃的挖掘木马之一,而KingMiner今年仍试图通过不断变化来攫取企业用户的利益。最近,腾讯安全威胁情报中心检测到一个KingMiner变种特洛伊木马,该木马将MSSQL服务器用于挖掘。到目前为止,受到攻击的计算机数量已达数万台。
(图:KingMiner挖掘木马变体攻击流程)
从死灰复燃的KingMiner木马挖掘事件中不难看出,犯罪团伙表现出了更加多样化的犯罪能力。它利用“黑白”方法启动木马动态链接库,并利用谷歌等几家知名公司的数字签名文件来规避软件查杀检测,严重威胁企业的数据安全目前,腾讯的安全终端安全管理系统已经完全拦截并击毙了这一恶意行为。
(图:腾讯安全终端安全管理系统)
事实上,网络黑色生产不再是散兵游勇的单打独斗,以连锁经营为特征的产业模式日益完善。根据腾讯安全洞察威胁情报中心的监控,KingMiner木马的新变种具有规避软检测、消除挖掘竞争和持续攻击的特点。首先,特洛伊木马会根据不同的系统版本下载不同的有效负载文件,以执行功率提升和门罗硬币挖掘。同时,安装WMI定时器和Windows预定任务,反复执行指定的脚本,执行服务器返回的恶意代码,达到持续攻击的目的。关闭具有CVE-2019-0708漏洞的计算机上的RDP服务,以防止其他挖掘组入侵和垄断受控服务器资源;最后,使用base64和特殊编码的XML、TXT、PNG文件对木马程序进行加密。
此次更新后,KingMiner木马的破坏力不言而喻。一旦爆破成功,除了开采外,还可能导致关键信息的泄露,这对企业造成严重危害。据监测数据统计,这次成千上万的企业受到了金矿工木马的攻击。由于经济发达,广东、重庆、北京、上海等地已成为受影响更严重的地区。
自2018年6月全球爆发以来,KingMiner的特洛伊木马已衍生出许多变种。病毒作者通常会攻击微软的微软服务器,并利用微软服务器的弱密码爆破来获取系统权限,然后植入木马,对网络安全构成很大威胁同时,攻击者还利用各种规避技术绕过虚拟机环境和安全检测,导致一些反病毒引擎无法准确检测,给用户网络带来巨大的安全风险
为了进一步避免KingMiner木马的危害,腾讯安全反病毒实验室负责人马劲松提醒广大企业用户,建议加强服务器的安全性,修复服务器的安全漏洞,使用安全密码策略。修改SQL Sever服务的默认端口,根据原始配置更改默认的1433端口设置,并将访问规则设置为拒绝1433端口探测;同时,它使用安全密码策略和高强度密码来防止非法黑客对其进行暴力破解。此外,权限升级漏洞CVE-2019-0803可以通过微软的官方声明修复。(下载地址:https://portal . msrc . Microsoft . com/en-us/security-guidance/advice/CVE-2019-0803)
(照片:腾讯安全高级威胁检测系统)
就目前的非法黑客攻击而言,升级技术手段和使用可靠的网络安全产品是阻止非法入侵的有效途径。对此,腾讯安全技术专家建议企业在全网范围内安装腾讯安全终端安全管理系统和腾讯安全高级威胁检测系统,在终端安全、边界安全、网站监控和统一监控等方面建立一套集风险监控、分析、预警、响应和可视化于一体的安全体系,全方位、立体地保障企业用户的信息安全。