新的KingMiner威脅顯示加密貨幣挖掘軟體的進化

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：加密貨幣挖掘操作可強制訪問Windows伺服器，並利用CPU周期創建門羅幣。

近期發現，加密貨幣挖掘操作可強制訪問Windows伺服器，並利用CPU周期創建門羅幣。六個月前檢測到該活動，自此該活動已經過多個階段的進化。

六月中旬檢測到該活動後，該惡意軟體已進行兩次更新，且從未停止攻擊。

E挖掘門羅幣與逃避檢測

CheckPoint研究人員分析了該新威脅，並將其命名為「KingMiner」。研究人員發現，此次威脅專門針對微軟IIS與SQL伺服器，並利用暴力破解攻擊獲取訪問權。成功入侵後，惡意軟體將確定CPU架構，檢查其自身的舊版本並刪除它們。

該惡意軟體利用免費提供的XMRig礦工創建門羅幣，為免受窺視，其私人採礦池所在的配置文件禁用了API。

為防止研究人員檢測它的餘額，其文件中顯示的錢包地址並不用於公共挖礦。

據研究人員稱，配置規定礦工可使用75%的CPU資源，但可能由於代碼中存在錯誤，實際操作中，礦工使用了100%的處理器。

KingMiner實現了多種針對模擬環境的防禦，並利用偽裝為ZIP文件的XML有效負載檢測並記錄某些防病毒引擎的低速率。

CheckPoint表示，「使用逃避技術是成功發起攻擊的重要因素。」並補充道，該惡意軟體用以繞過模擬與檢測方法的技術並不複雜。

在六月到十月的這三個月中，KingMiner不斷通過混淆有效載荷與修改挖礦程序所用的配置文件進行改進。

所有這些修改都可降低VirusTotal的檢測率，該惡意軟體的最新兩個版本僅被不到7個防病毒引擎標記為惡意軟體。

CheckPoint遙測數據表明，KingMiner感染範圍「從墨西哥到印度，從挪威到以色列。」

KingMiner使用簡單的方法便可成功躲過安全產品的檢查。該公司預測，2019年，加密挖掘攻擊將繼續發展並且在逃避檢測方面更成熟。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！