安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2018-12-06 00:08:00  来源:本站整理

KingMiner:说好的挖75% 怎么挖到100%了呢[安全新闻]

赞助商链接



  本文“KingMiner:说好的挖75% 怎么挖到100%了呢[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:


 
Crypto-Mining(加密货币挖矿)攻击在2018年不断发展和演变。由于加密货币的价值和普及程度的提高,黑客越来越倾向于利用受害者设备的CPU资源来进行加密货币挖矿操作。在整个一年中,我们看到了相关报告和攻击数量的大幅增加。尽管最近加密货币的价值趋于平稳,但这种攻击方法和技术仍然在独创性和有效性方面不断改进。
KingMiner是一种以Windows服务器为目标的Monero-Mining(门罗币挖矿)恶意软件。该恶意软件于2018年6月中旬首次出现,并在随后迅速发布了两个改进版本。由于攻击者采用了多种逃避技术来绕过仿真环境和安全检测,导致一些反病毒引擎针对该恶意软件的检测率明显偏低。根据我们对传感器日志的分析,KingMiner攻击尝试的数量一直处于稳步上升。
 
攻击流程
根据我们的调查结果,我们确定该恶意软件的目标是Microsoft服务器(主要是IISSQL),并尝试猜测其密码。
一个Windows Scriptlet文件(.sct)会在受害者的设备上被下载并执行。
在执行过程中,该文件执行了以下几个步骤:
l  检测设备的相关CPU架构。
l  如果存在旧版本的payload,则会杀死相关的exe文件进程,并删除旧文件。
l  根据检测到的CPU架构下载一个payload ZIP文件(zip64p.zip)。请注意,这并不是一个真正的ZIP文件,而是一个XML文件,这样做的目的是尝试绕过仿真环境。

图1.HTTP响应中的“zip”payload
l  XML payload包括一个Base64 blob,一旦编码,将生成预期的“ZIP”文件。

如上所示,这个ZIP文件包含五个文件:
l  config.json-XMRig CPU miner配置文件。
l  md5.txt –仅包含字符串“zzz”的文本文件。
l  powered.exe (在旧版本中被命名为fix.exe)–主要的可执行文件。
l  soundbox.dll/soundbox.dll-包含一些函数的DLL文件,这些函数将由powered.exe导出。
l  x.txt/y.png-二进制blob文件。情注意,这不是一个真正的PNG文件。

 图2.攻击的第一阶段

图3. config.json-一个XMRig配置文件,包含钱包地址和私有采矿池地址
在仿真环境中,可执行文件不会执行任何操作。
在提取所有文件之后,md5.txt文件(“zzz”)的内容将附加到相关的DLL文件(sandbox.dllactive_desktop_render_x64.dll,两者中的内容相同)。不过,我们还没有看到这种行为会对恶意软件活动产生任何影响。
powered.exe/fix.exe文件被调用并执行,以创建XMRig miner文件和几个值为“Test”的新注册表项。

图4. DLL文件中包含的函数
可执行文件会从DLL文件中调用以下函数:
l  ClearDesktopMonitorHook-该函数返回值1。可能会在未来的版本中使用。
l  King1-创建一个线程并解码相关二进制blob文件(x.txt/y.png)的内容。结果是一个可执行文件,它是XMRig CPU miner的一个精简版本,只保留了主函数。
DLL文件包含四个附加函数,可能会在未来的版本中使用:
l  King2-返回值1。
l  King3-返回值1。
l  King4-返回值1。
l  SetDesktopMonitorHook-调用King1。

图5.函数“king1”,创建一个线程并将二进制blob y.png/x.txt作为参数。

图6.攻击的第二阶段
XMRig CPU Miner正式运行,并耗尽受害者设备的全部CPU资源。
虽然被配置为占用75%的CPU资源,但它实际占用的是100%。

图7:恶意powered.exe文件占用了100%的CPU资源
KingMiner的演变
Check Point的研究人员在KingMiner过去6个月的整个演变过程中,一直在监控它的活动。自首次出现以来,KingMiner已经发布了两个新版本。该恶意软件一直在不断地添加新的功能和逃避技术,以绕过安全检测

[1] [2]  下一页


  以上是“KingMiner:说好的挖75% 怎么挖到100%了呢[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • KingMiner:说好的挖75% 怎么挖到100%了呢
  • 15F Facebook的视频likejacking的攻击
  • 微软的补丁包括一个为“cookiejacking”...
  • 国产第一品牌数据库人大金仓(kingbase)官方网站入侵检测
  • 国产第一品牌数据库人大金仓(kingbase)官方网站入侵检测及修复
  • Linux VPS上利用kingate搭建socks代理服务器
  • <b>thinking in java</b>
  • <b>kingofark关于学习C++和编程的50个概念</b>
  • <b>Ajax Hacking实战</b>
  • <b>kingcms 5.0 fckeditor 漏洞</b>
  • BreakingPoint公布新防备系统测试办法
  • 环境变量在Hacking中的操纵
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .