騰訊安全：針對SQL弱口令攻擊高發(fā) KingMiner挖礦木馬影響上萬臺電腦

　　作為 2018年度最為活躍的挖礦木馬之一，KingMiner今年以來仍在試圖通過不斷的變種攫取企業(yè)用戶利益。近日，騰訊安全御見威脅情報(bào)中心監(jiān)測到一例通過爆破攻擊MSSQL服務(wù)器進(jìn)行挖礦的KingMiner變種木馬。截止目前，受攻擊電腦數(shù)量已達(dá)上萬臺。

　　(圖：KingMiner挖礦木馬變種攻擊流程)

　　此次卷土重來的KingMiner挖礦木馬事件中不難看出，作案團(tuán)伙展現(xiàn)出了更為多樣的作案能力。其采用“白+黑”方式啟動木馬DLL，利用谷歌等多個(gè)知名公司含數(shù)字簽名的文件來躲避殺軟檢測，嚴(yán)重威脅企業(yè)數(shù)據(jù)安全。目前，騰訊安全終端安全管理系統(tǒng)已對該惡意行為進(jìn)行全面攔截并查殺。

　　(圖：騰訊安全終端安全管理系統(tǒng))

　　實(shí)際上，網(wǎng)絡(luò)黑產(chǎn)早已不再是散兵游勇式的單打獨(dú)斗，鏈條化運(yùn)作特征的產(chǎn)業(yè)模式日趨完善。據(jù)騰訊安全御見威脅情報(bào)中心監(jiān)測發(fā)現(xiàn)，此次KingMiner挖礦木馬新變種，兼具逃避殺軟檢測、清除挖礦競品、持久化攻擊等特點(diǎn)。該木馬首先會根據(jù)不同系統(tǒng)版本下載不同Payload文件，進(jìn)行提權(quán)以及門羅幣挖礦;同時(shí)安裝WMI定時(shí)器和Windows計(jì)劃任務(wù)來反復(fù)執(zhí)行指定腳本，執(zhí)行服務(wù)器返回的惡意代碼達(dá)到持久化攻擊的目的。關(guān)閉存在CVE-2019-0708漏洞機(jī)器上RDP服務(wù)防止其他挖礦團(tuán)伙入侵，獨(dú)占已控制的服務(wù)器資源;最后，使用base64和特定編碼的XML，TXT，PNG文件來加密木馬程序。

　　此次更新后KingMiner挖礦木馬的殺傷力不言而喻，一旦爆破成功后，除了挖礦還可能導(dǎo)致關(guān)鍵信息泄露，對企業(yè)危害嚴(yán)重。據(jù)監(jiān)測數(shù)據(jù)統(tǒng)計(jì)，此次有上萬家企業(yè)受到KingMiner挖礦木馬攻擊影響，廣東、重慶、北京、上海等地由于經(jīng)濟(jì)發(fā)達(dá)，成為本次攻擊受害較嚴(yán)重的區(qū)域。

　　自2018年6月在全球大范圍爆發(fā)以來，KingMiner挖礦木馬已衍生了多個(gè)變種版本。病毒作者一般針對Windows服務(wù)器MSSQL進(jìn)行攻擊，利用SQL Server弱口令爆破獲取系統(tǒng)權(quán)限，進(jìn)而植入挖礦木馬，給網(wǎng)絡(luò)安全造成了極大的威脅。同時(shí)，攻擊者還采用了多種逃避技術(shù)，繞過虛擬機(jī)環(huán)境和安全檢測，導(dǎo)致部分反病毒引擎無法準(zhǔn)確檢測，給用戶網(wǎng)絡(luò)帶來巨大安全隱患。

　　為進(jìn)一步免受KingMiner挖礦木馬的危害，騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松提醒廣大企業(yè)用戶，建議加固SQL Server服務(wù)器，修補(bǔ)服務(wù)器安全漏洞和使用安全密碼策略;修改SQL Sever服務(wù)默認(rèn)端口，在原始配置基礎(chǔ)上更改默認(rèn)1433端口設(shè)置，并且設(shè)置訪問規(guī)則，拒絕1433端口探測;同時(shí)使用安全的密碼策略，使用高強(qiáng)度密碼，防止不法黑客暴力破解。此外，還可通過微軟官方公告修復(fù)特權(quán)提升漏洞CVE-2019-0803。

　　(圖：騰訊安全高級威脅檢測系統(tǒng))

　　就目前不法黑客攻擊手法來看，提升技術(shù)手段和使用可靠的網(wǎng)絡(luò)安全產(chǎn)品，是阻斷不法分子入侵的有效方式。對此，騰訊安全技術(shù)專家建議企業(yè)全網(wǎng)安裝騰訊安全終端安全管理系統(tǒng)、騰訊安全高級威脅檢測系統(tǒng)，在終端安全、邊界安全、網(wǎng)站監(jiān)測、統(tǒng)一監(jiān)測方面建立一套集風(fēng)險(xiǎn)監(jiān)測、分析、預(yù)警、響應(yīng)和可視化為一體的安全體系，可以全方位、立體化保障企業(yè)用戶的信息安全。