加密貨幣挖掘操作可強(qiáng)制訪問Windows服務(wù)器，并利用CPU周期創(chuàng)建門羅幣。

近期發(fā)現(xiàn)，加密貨幣挖掘操作可強(qiáng)制訪問Windows服務(wù)器，并利用CPU周期創(chuàng)建門羅幣。六個月前檢測到該活動，自此該活動已經(jīng)過多個階段的進(jìn)化。

六月中旬檢測到該活動后，該惡意軟件已進(jìn)行兩次更新，且從未停止攻擊。

E挖掘門羅幣與逃避檢測

CheckPoint研究人員分析了該新威脅，并將其命名為“KingMiner”。研究人員發(fā)現(xiàn)，此次威脅專門針對微軟IIS與SQL服務(wù)器，并利用暴力破解攻擊獲取訪問權(quán)。成功入侵后，惡意軟件將確定CPU架構(gòu)，檢查其自身的舊版本并刪除它們。

該惡意軟件利用免費(fèi)提供的XMRig礦工創(chuàng)建門羅幣，為免受窺視，其私人采礦池所在的配置文件禁用了API。

為防止研究人員檢測它的余額，其文件中顯示的錢包地址并不用于公共挖礦。

據(jù)研究人員稱，配置規(guī)定礦工可使用75%的CPU資源，但可能由于代碼中存在錯誤，實(shí)際操作中，礦工使用了100%的處理器。

KingMiner實(shí)現(xiàn)了多種針對仿真環(huán)境的防御，并利用偽裝為ZIP文件的XML有效負(fù)載檢測并記錄某些防病毒引擎的低速率。

CheckPoint表示，“使用逃避技術(shù)是成功發(fā)起攻擊的重要因素?！辈⒀a(bǔ)充道，該惡意軟件用以繞過仿真與檢測方法的技術(shù)并不復(fù)雜。

在六月到十月的這三個月中，KingMiner不斷通過混淆有效載荷與修改挖礦程序所用的配置文件進(jìn)行改進(jìn)。

所有這些修改都可降低VirusTotal的檢測率，該惡意軟件的最新兩個版本僅被不到7個防病毒引擎標(biāo)記為惡意軟件。

CheckPoint遙測數(shù)據(jù)表明，KingMiner感染范圍“從墨西哥到印度，從挪威到以色列?！?/p>

KingMiner使用簡單的方法便可成功躲過安全產(chǎn)品的檢查。該公司預(yù)測，2019年，加密挖掘攻擊將繼續(xù)發(fā)展并且在逃避檢測方面更成熟。