前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >你的挖矿木马上线了,更新、更快、更强!

你的挖矿木马上线了,更新、更快、更强!

作者头像
FB客服
发布2018-12-28 14:55:11
7020
发布2018-12-28 14:55:11
举报
文章被收录于专栏:FreeBuf

前言

没错,现在市面上又诞生了一种功能更强大的恶意挖矿软件。这款恶意软件名叫KingMiner,它可以利用Windows Server CPU的全部算力来挖矿。值得一提的是,它的攻击频率越来越高了,但是检测率却越来越低…

解构

恶意挖矿攻击,指的是攻击者劫持目标用户的PC或系统,然后利用目标设备的CPU算力来进行隐蔽性的挖矿活动,而这种恶意活动也成为了个人用户和企业用户的“眼中钉,肉中刺”。

在大多数恶意挖矿攻击活动中,攻击者通常挖的是门罗币(XMR)和以太坊(ETH),如果窃取的算力有限制的话,这种攻击还是很难被发现的,而且挖矿收益会实时转移到攻击者的电子钱包中。值得注意的是,这种攻击的吸引力已经超过了勒索软件,而且恶意挖矿攻击的隐蔽性更高。

就在前几天,Check Point的安全研究专家表示,他们检测到了一种新型的恶意挖矿软件,这款恶意软件名叫KingMiner。KingMiner的首次出现是在今年的6月份,而且现在也衍生出了很多变种版本。

这款恶意软件一般针对的是IIS/SQL Microsoft服务器,使用了暴力破解攻击来获取入侵服务器所必须的凭证。得到授权凭证之后,便会在目标主机上下载并执行一个.sct Windows Scriptlet文件。

这个脚本可以扫描并检测目标设备的CPU架构,并下载相应CPU的Payload。通过分析发现,Payload表面上是一个.zip文件,实际上却是一个 XML文件。提取并执行之后,恶意软件Payload会创建一系列新的注册表键,并执行一个XMRig挖矿软件,而这个软件的作用就是挖门罗币。

根据研究人员提取出来的配置信息,这个挖矿软件会使用目标设备CPU 75%的算力,但很可能是由于存在编码错误,它实际上会占用到CPU 100%的资源。

而且,为了增加跟踪分析的难度,KingMiner的矿池还设置的隐藏保护,并关闭了其他的API。除此之外,它所使用的钱包地址是从未在公共矿池中使用过的,研究人员也无法检测到攻击者所使用的域名以及总共挖到了门罗币数量。

根据Check Point的统计数据,目前感染KingMiner的用户主要分布在墨西哥、印度、挪威挪威和以色列等国家。新版本的KingMiner也已经衍生出了两个更新的变种版本,而且种种迹象表明(恶意软件的代码中有很多占位符,用于增加新的功能),这款恶意软件的开发人员仍在增强KingMiner的功能。

CheckPoint的研究人员表示,攻击者使用了各种绕过技术来躲避安全产品的检测,而且他们也确实成功地降低了被检测到的机率。更重要的是,KingMiner的攻击活动越来越频繁了,而检测率越来越低的事实的确让他们头疼不已。

* 参考来源:zdnet,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-12-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 前言
  • 解构
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档