一个名为KingMiner的威胁组织使用一种不断发展的加密劫持恶意软件,该恶意软件主要针对微软IIS/SQL服务器,使用暴力作为攻击的主要载体,以损害受害者的利益。
“恶意软件首次出现在2018年6月中旬,随后迅速部署了两个改进版本,”Check Point的Ido Solomon和Adi Ikan安全研究人员表示。
此外,“攻击者采用各种规避技术来绕过仿真和检测方法,因此,一些检测引擎已经注意到显着降低了检测率。”
正如Check Point分析中所详述的,KingMiner利用私有挖掘池来加密加密恶意软件,并禁用API,并且钱包不使用公共挖掘池以确保其活动不受监控。
一旦它设法破坏它所针对的Microsoft Server机器,加密劫持恶意软件将搜索其自身的先前版本并使用最新和特定于体系结构的恶意软件有效负载进行升级。
KingMiner的恶意软件将以XML文件的形式下载有效负载,该文件包含包含二进制文件作为Base64 blob的ZIP文件,以确保它避免检测。
该恶意软件自2018年6月发现以来经历了多个更新阶段
在扩展包含恶意软件二进制文件的ZIP之后,启动其中包含的可执行文件,启动XMRig挖掘器,用于在受损系统上非法挖掘Monero硬币。
即使加密挖掘器被设计为使用高达75%的受感染服务器的CPU资源,但实际上,它可能会因为编程错误而上升到100%。
自2018年6月发现以来,KingMiner的恶意软件工具经历了多个发展阶段,增加了新的检测旁路方法和新功能,同时还显示了代码占位符的证据,这些代码占位符被设计为在未来更新中添加新功能的立足点。
“KingMiner是一个不断发展的Crypto-Mining恶意软件的例子,可以绕过常见的检测和仿真系统”Check Point总结道。 “通过实施简单的规避技术,攻击者可以增加攻击成功的可能性。”
Check Point的网站上提供了KingMiner危害指标的完整列表,包括恶意软件文件哈希,主机,挖掘池和钱包地址。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx