据区块律动 BlockBeats 消息,腾讯安全御见威胁情报中心检测到 KingMiner 变种攻击,KingMiner 是一种针对 Windows 服务器 MS SQL 进行爆破攻击的门罗币挖矿木马。该木马最早于 2018 年 6 月中旬首次出现,并在随后迅速发布了两个改进版本。攻击者采用了多种逃避技术来绕过虚拟机环境和安全检测,导致一些反病毒引擎无法准确检测。
当前版本 KingMiner 具有以下特点:
1. 针对 MSSQL 进行爆破攻击入侵;
2. 利用 WMI 定时器和 Windows 计划任务进行持久化攻击;
3. 关闭存在 CVE-2019-0708 漏洞机器上 RDP 服务,防止其他挖矿团伙入侵,以独占服务器资源挖矿;
4. 使用 base64 和特定编码的 XML、TXT、PNG 文件来加密木马程序;
5. 利用微软和多个知名厂商的签名文件作为父进程,「白+黑」启动木马 DLL。
根据腾讯安全御见威胁情报中心统计数据,KingMiner 影响超过一万台电脑,其中受影响最严重的地区为广东、重庆、北京、上海等地。
安全建议
腾讯御见建议企业针对 KingMiner 挖矿木马的技术特点采取针对性的防御措施:
1. 根据微软官方公告修复特权提升漏洞 CVE-2019-0803:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0803
2、加固 SQL Server 服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿继续使用弱口令,特别是 sa 账号密码,防止黑客暴力破解。
3、修改 SQL Sever 服务默认端口,在原始配置基础上更改默认 1433 端口设置,并且设置访问规则,拒绝 1433 端口探测。
4、企业用户可在服务器部署腾讯御点终端安全管理系统,从而防范此类攻击。
5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)
声明:此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。本网站所提供的信息,只供参考之用。
