加密貨幣挖掘操作可強(qiáng)制訪問(wèn)Windows服務(wù)器，并利用CPU周期創(chuàng)建門(mén)羅幣。

近期發(fā)現(xiàn)，加密貨幣挖掘操作可強(qiáng)制訪問(wèn)Windows服務(wù)器，并利用CPU周期創(chuàng)建門(mén)羅幣。六個(gè)月前檢測(cè)到該活動(dòng)，自此該活動(dòng)已經(jīng)過(guò)多個(gè)階段的進(jìn)化。

六月中旬檢測(cè)到該活動(dòng)后，該惡意軟件已進(jìn)行兩次更新，且從未停止攻擊。

E挖掘門(mén)羅幣與逃避檢測(cè)

CheckPoint研究人員分析了該新威脅，并將其命名為“KingMiner”。研究人員發(fā)現(xiàn)，此次威脅專門(mén)針對(duì)微軟IIS與SQL服務(wù)器，并利用暴力破解攻擊獲取訪問(wèn)權(quán)。成功入侵后，惡意軟件將確定CPU架構(gòu)，檢查其自身的舊版本并刪除它們。

該惡意軟件利用免費(fèi)提供的XMRig礦工創(chuàng)建門(mén)羅幣，為免受窺視，其私人采礦池所在的配置文件禁用了API。

為防止研究人員檢測(cè)它的余額，其文件中顯示的錢(qián)包地址并不用于公共挖礦。

據(jù)研究人員稱，配置規(guī)定礦工可使用75%的CPU資源，但可能由于代碼中存在錯(cuò)誤，實(shí)際操作中，礦工使用了100%的處理器。

KingMiner實(shí)現(xiàn)了多種針對(duì)仿真環(huán)境的防御，并利用偽裝為ZIP文件的XML有效負(fù)載檢測(cè)并記錄某些防病毒引擎的低速率。

CheckPoint表示，“使用逃避技術(shù)是成功發(fā)起攻擊的重要因素。”并補(bǔ)充道，該惡意軟件用以繞過(guò)仿真與檢測(cè)方法的技術(shù)并不復(fù)雜。

在六月到十月的這三個(gè)月中，KingMiner不斷通過(guò)混淆有效載荷與修改挖礦程序所用的配置文件進(jìn)行改進(jìn)。

所有這些修改都可降低VirusTotal的檢測(cè)率，該惡意軟件的最新兩個(gè)版本僅被不到7個(gè)防病毒引擎標(biāo)記為惡意軟件。

CheckPoint遙測(cè)數(shù)據(jù)表明，KingMiner感染范圍“從墨西哥到印度，從挪威到以色列?！?/p>

KingMiner使用簡(jiǎn)單的方法便可成功躲過(guò)安全產(chǎn)品的檢查。該公司預(yù)測(cè)，2019年，加密挖掘攻擊將繼續(xù)發(fā)展并且在逃避檢測(cè)方面更成熟。