加密货币挖矿操作强制访问 Windows 服务器并利用 CPU 周期创建 Monero

加密货币挖矿操作强制访问 Windows 服务器并使用 CPU 周期来创建门罗币。

最近发现加密货币挖掘操作可以强制访问 Windows 服务器并使用 CPU 周期来创建 Monero。 该活动是在六个月前被发现的，此后经历了几个阶段。

自 6 月中旬检测到该活动以来，该恶意软件已经更新了两次，并且从未停止过。

E 挖 Monero 和逃避检测

CheckPoint 研究人员分析了这种新威胁并将其命名为“KingMiner”。 研究人员发现，该威胁专门针对 Microsoft IIS 和 SQL 服务器，并使用暴力攻击来获取访问权限。 成功入侵后，恶意软件将确定 CPU 架构，检查自身的旧版本并将其删除。

该恶意软件使用免费提供的 XMRig 矿工来创建门罗币，其私有矿池所在的配置文件禁用了 API 以防止其被窥探。

为了防止研究人员检查其余额，其文件中显示的钱包地址不用于公开挖矿。

根据研究人员的说法，配置规定矿工可以使用 75% 的 CPU 资源，但实际上，矿工使用了 100% 的处理器，这可能是由于代码中的错误。

KingMiner 针对模拟环境实施多种防御，并使用伪装成 ZIP 文件的 XML 有效载荷检测和记录某些防病毒引擎的低速率。

“逃避技术的使用是攻击成功的一个重要因素，”CheckPoint 说网吧模拟器btc怎么赚钱，并补充说恶意软件用来绕过模拟和检测方法的技术并不复杂。

从6月到10月的三个月里，KingMiner通过混淆payload和修改挖矿程序使用的配置文件等方式不断改进。

所有这些修改都降低了 VirusTotal 的检测率，最后两个版本的恶意软件被不到七个防病毒引擎标记为恶意软件。

CheckPoint 遥测数据表明，KingMiner 感染范围“从墨西哥到印度网吧模拟器btc怎么赚钱，从挪威到以色列”。

KingMiner可以通过简单的方法成功规避安全产品的检查。 该公司预测，到 2019 年，加密挖矿攻击将继续发展，并在逃避检测方面变得更加复杂。