站長資訊網KingMiner挖礦木馬自去年開始活躍以來,通常使用暴力方式來攻擊MSSQL微軟服務器,以獲取攻擊服務器所需的憑據。一旦獲得訪問權限后,便可實現在受害者的計算機上下載并執行一系列挖礦腳本文件。而在近期,360安全大腦成功監測到國內團伙對KingMiner挖礦木馬進行了技術更新。短短不到一周時間,受攻擊服務器已達數千臺。
區別于以往暴力入侵用戶機器之后便開始大挖特挖的野蠻行徑,該團伙開始有意識的維持現有肉雞的穩定性,再度為木馬防護提出了新的挑戰。
更新之后的KingMiner挖礦木馬總體工作流程
不過廣大用戶無需擔心,360安全衛士已支持針對該類木馬的攔截查殺,建議廣大用戶及時下載安裝360安全衛士保護電腦隱私及財產安全。
入侵設備方式多樣化,病毒內核經多層“外衣”包裹
從本次360安全大腦的監測來看,升級的挖礦木馬成功入侵用戶設備之后,該作案團伙通過SQL命令行下載執行具有管理功能的VBS腳本,其將根據入侵設備是否曾經遭受入侵而選擇更新相關工作模塊或者下載部署全新的KingMiner挖礦木馬。
從木馬拆解情況來看,通過2個URL(hxxp://q.30583fdae.tk/32tl.zip、hxxp://q.30583fdae.tk/64tl.zip)下載得到的模塊功能是一致的,只是用于不同的系統版本。以32tl.zip來解析,通過對外層XML的處理與base64的解剖后,便可得到真正的PE壓縮包文件。經過解壓發現,這正是剛過去不久的CVE-2019-0803提權漏洞利用工具,成功利用此漏洞的攻擊者可以以系統最高權限運行任意代碼,攻擊者可隨后安裝程序,查看、更改或刪除數據,甚至創建擁有完全用戶權限的新帳戶。由此可見,此次更新后KingMiner挖礦木馬的殺傷力不言而喻。
加持持久化模塊,KingMiner挖礦木馬堪比“永動機”
另外,此次卷土重來的KingMiner挖礦木馬通過在持久化方面的積極進化,成為了令人恐懼的“越級新變種”。其通過設置計劃任務的方式,定時下載執行云端控制的腳本;并且作者為了長期、穩定、隱蔽的運營,采用了根據當前系統時間生成和查詢域名“news.g32thr.com”進行控制的兩種DGA(Domain Generation Algorithm域名生成算法)。并且DGA腳本被木馬寫入了用戶的計劃任務中,設定每15分鐘執行一次。
通過捕獲到的執行腳本不難發現,具體代碼實現了3步操作:
1、首先檢測用戶是不是WIN7及以下的系統,如果是的話就繼續執行。
2、然后檢查用戶有沒有安裝編號為“kb4499175、kb4500331、KB4499149、KB4499180、KB4499164”的系統補丁,如果沒有找到則執行下一句。
3、關閉用戶的遠程桌面功能。
從木馬作者通過主動幫助用戶關閉遠程桌面功能,以保證徹底杜絕漏洞危害的這一做法來看,作案團伙已經完成了從一心入侵肉雞到維持已有肉雞留存量的戰略轉變,顯然這種有意識的向技術縱深發展,并非我們所樂于見到的結果。
網絡黑產“野蠻生長”,用戶網安意識亟待加強
值得一提的是,隨著今年比特幣重新煥發活力,與數字貨幣相關聯的挖礦木馬的態勢也再次呈現出,如同比特幣漲勢一般的指數級增長。從本次卷土重來的KingMiner挖礦木馬事件中不難看出,作案團伙也展現出了更為全面與多樣的作案能力。實際上,隨著社會進入數字化時代,網絡黑產早已不再是散兵游勇式的單打獨斗,具有專業分工、鏈條化運作特征的產業模式日趨完善。所以,面對日益猖獗、方法手段不斷翻新的網絡黑產,我們應時刻加強網絡安全意識,努力提高自我防范能力。
因此360安全大腦建議廣大用戶做好以下防御措施,抵御挖礦木馬的侵害:
1、前往weishi.360.cn下載安裝360安全衛士,抵御各類病毒木馬威脅;
2、及時使用360安全衛士為系統安裝補丁,關閉不必要的端口和服務;
3、發現電腦出現異常時,及時使用360安全衛士進行體檢掃描,查殺木馬病毒;
4、使用高強度的Windows登陸密碼、SSH登陸密碼、MsSQL數據庫密碼,避免遭遇弱口令爆破攻擊。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
