你的挖礦木馬上線了，更新、更快、更強！

前言

沒錯，現在市面上又誕生了一種功能更強大的惡意挖礦軟體。這款惡意軟體名叫KingMiner，它可以利用Windows Server CPU的全部算力來挖礦。值得一提的是，它的攻擊頻率越來越高了，但是檢測率卻越來越低…

解構

惡意挖礦攻擊，指的是攻擊者劫持目標用戶的PC或系統，然後利用目標設備的CPU算力來進行隱蔽性的挖礦活動，而這種惡意活動也成為了個人用戶和企業用戶的「眼中釘，肉中刺」。

在大多數惡意挖礦攻擊活動中，攻擊者通常挖的是門羅幣（XMR）和以太坊（ETH），如果竊取的算力有限制的話，這種攻擊還是很難被發現的，而且挖礦收益會實時轉移到攻擊者的電子錢包中。值得注意的是，這種攻擊的吸引力已經超過了勒索軟體，而且惡意挖礦攻擊的隱蔽性更高。

就在前幾天，Check Point的安全研究專家表示，他們檢測到了一種新型的惡意挖礦軟體，這款惡意軟體名叫KingMiner。KingMiner的首次出現是在今年的6月份，而且現在也衍生出了很多變種版本。

這款惡意軟體一般針對的是IIS/SQL Microsoft伺服器，使用了暴力破解攻擊來獲取入侵伺服器所必須的憑證。得到授權憑證之後，便會在目標主機上下載並執行一個.sct Windows Scriptlet文件。

這個腳本可以掃描並檢測目標設備的CPU架構，並下載相應CPU的Payload。通過分析發現，Payload表面上是一個.zip文件，實際上卻是一個 XML文件。提取並執行之後，惡意軟體Payload會創建一系列新的註冊表鍵，並執行一個XMRig挖礦軟體，而這個軟體的作用就是挖門羅幣。

根據研究人員提取出來的配置信息，這個挖礦軟體會使用目標設備CPU 75%的算力，但很可能是由於存在編碼錯誤，它實際上會佔用到CPU 100%的資源。

而且，為了增加跟蹤分析的難度，KingMiner的礦池還設置的隱藏保護，並關閉了其他的API。除此之外，它所使用的錢包地址是從未在公共礦池中使用過的，研究人員也無法檢測到攻擊者所使用的域名以及總共挖到了門羅幣數量。

根據Check Point的統計數據，目前感染KingMiner的用戶主要分布在墨西哥、印度、挪威挪威和以色列等國家。新版本的KingMiner也已經衍生出了兩個更新的變種版本，而且種種跡象表明（惡意軟體的代碼中有很多佔位符，用於增加新的功能），這款惡意軟體的開發人員仍在增強KingMiner的功能。

CheckPoint的研究人員表示，攻擊者使用了各種繞過技術來躲避安全產品的檢測，而且他們也確實成功地降低了被檢測到的機率。更重要的是，KingMiner的攻擊活動越來越頻繁了，而檢測率越來越低的事實的確讓他們頭疼不已。

* 參考來源：zdnet，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！