KingMiner加密威脅使用暴力破解Windows Server計算機
一個名為KingMiner的威脅組織使用一種不斷髮展的加密劫持惡意軟體,該惡意軟體主要針對微軟IIS/SQL伺服器,使用暴力作為攻擊的主要載體,以損害受害者的利益。
“惡意軟體首次出現在2018年6月中旬,隨後迅速部署了兩個改進版本,”Check Point的Ido Solomon和Adi Ikan安全研究人員表示。
此外,“攻擊者採用各種規避技術來繞過模擬和檢測方法,因此,一些檢測引擎已經注意到顯著降低了檢測率。”
正如Check Point分析中所詳述的,KingMiner利用私有挖掘池來加密加密惡意軟體,並禁用API,並且錢包不使用公共挖掘池以確保其活動不受監控。
一旦它設法破壞它所針對的Microsoft Server機器,加密劫持惡意軟體將搜尋其自身的先前版本並使用最新和特定於體系結構的惡意軟體有效負載進行升級。
KingMiner的惡意軟體將以XML檔案的形式下載有效負載,該檔案包含包含二進位制檔案作為Base64 blob的ZIP檔案,以確保它避免檢測。
該惡意軟體自2018年6月發現以來經歷了多個更新階段
在擴充套件包含惡意軟體二進位制檔案的ZIP之後,啟動其中包含的可執行檔案,啟動XMRig挖掘器,用於在受損系統上非法挖掘Monero硬幣。
即使加密挖掘器被設計為使用高達75%的受感染伺服器的CPU資源,但實際上,它可能會因為程式設計錯誤而上升到100%。
自2018年6月發現以來,KingMiner的惡意軟體工具經歷了多個發展階段,增加了新的檢測旁路方法和新功能,同時還顯示了程式碼佔位符的證據,這些程式碼佔位符被設計為在未來更新中新增新功能的立足點。
“KingMiner是一個不斷髮展的Crypto-Mining惡意軟體的例子,可以繞過常見的檢測和模擬系統”Check Point總結道。 “通過實施簡單的規避技術,攻擊者可以增加攻擊成功的可能性。”
Check Point的網站上提供了 ofollow,noindex">KingMiner危害指標的完整列表 ,包括惡意軟體檔案雜湊,主機,挖掘池和錢包地址。
Linux公社的RSS地址 : https://www.linuxidc.com/rssFeed.aspx
本文永久更新連結地址: https://www.linuxidc.com/Linux/2018-12/155678.htm