安基网 首页 资讯 安全报 查看内容

新的KingMiner威胁显示加密货币挖掘软件的进化

2018-12-2 09:22| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近期发现,加密货币挖掘操作可强制访问Windows服务器,并利用CPU周期创建门罗币。六个月前检测到该活动,自此该活动已经过多个阶段的进化。 新的KingMiner威胁显示加密货币挖掘软件的进化 六月中旬检测到该活动 ...

小编来报:加密货币挖掘操作可强制访问Windows服务器,并利用CPU周期创建门罗币。

近期发现,加密货币挖掘操作可强制访问Windows服务器,并利用CPU周期创建门罗币。六个月前检测到该活动,自此该活动已经过多个阶段的进化。

六月中旬检测到该活动后,该恶意软件已进行两次更新,且从未停止攻击。

E挖掘门罗币与逃避检测

CheckPoint研究人员分析了该新威胁,并将其命名为“KingMiner”。研究人员发现,此次威胁专门针对微软IIS与SQL服务器,并利用暴力破解攻击获取访问权。成功入侵后,恶意软件将确定CPU架构,检查其自身的旧版本并删除它们。

该恶意软件利用免费提供的XMRig矿工创建门罗币,为免受窥视,其私人采矿池所在的配置文件禁用了API

为防止研究人员检测它的余额,其文件中显示的钱包地址并不用于公共挖矿。

据研究人员称,配置规定矿工可使用75%的CPU资源,但可能由于代码中存在错误,实际操作中,矿工使用了100%的处理器。

KingMiner实现了多种针对仿真环境的防御,并利用伪装为ZIP文件的XML有效负载检测并记录某些防病毒引擎的低速率。

CheckPoint表示,“使用逃避技术是成功发起攻击的重要因素。”并补充道,该恶意软件用以绕过仿真与检测方法的技术并不复杂。

在六月到十月的这三个月中,KingMiner不断通过混淆有效载荷与修改挖矿程序所用的配置文件进行改进。

所有这些修改都可降低VirusTotal的检测率,该恶意软件的最新两个版本仅被不到7个防病毒引擎标记为恶意软件

CheckPoint遥测数据表明,KingMiner感染范围“从墨西哥到印度,从挪威到以色列。”

KingMiner使用简单的方法便可成功躲过安全产品的检查。该公司预测,2019年,加密挖掘攻击将继续发展并且在逃避检测方面更成熟。


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/i6629857644284740100/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部