KingMiner:一锤子耗尽100%CPU资源的新型挖矿恶意软件

访客4年前黑客工具630


Crypto-Mining(加密货币挖矿)攻击在2018年不断发展和演变。由于加密货币的价值和普及程度的提高,黑客越来越倾向于利用受害者设备的CPU资源来进行加密货币挖矿操作。 *** 安全公司Check Point表示,在整个一年中,他们看到了相关报告和攻击数量的大幅增加。尽管最近加密货币的价值趋于平稳,但这种攻击 *** 和技术仍然在独创性和有效性方面不断改进。

KingMiner是一种针对Windows服务器的Monero-Mining(门罗币挖矿)恶意软件。该恶意软件于2018年6月中旬首次出现,并在随后迅速发布了两个改进版本。由于攻击者采用了多种逃避技术来绕过仿真环境和安全检测,因此一些反病毒引擎针对该恶意软件的检测率都普遍变现为很低。根据Check Point对其传感器日志的分析,KingMiner攻击尝试的数量一直都在稳步上升。

攻击流程
Check Point表示,根据他们的调查结果,他们可以肯定该恶意软件的目标是Microsoft服务器(主要是IIS\SQL),涉及到尝试猜测其密码。

一个Windows Scriptlet文件(.sct)会在受害者的设备上被下载并执行。

在执行过程中,该文件执行了以下几个步骤:

检测设备的相关CPU架构。
如果存在旧版本的攻击文件,则会杀死相关的exe文件进程,并删除这些文件。
根据检测到的CPU架构下载一个payload ZIP文件(zip\64p.zip)。请注意,这并不是一个真正的ZIP文件,而是一个XML文件,被用来尝试绕过仿真环境。


图1.HTTP响应中的“zip”payload

XML payload包括一个二进制大对象(blob),一旦经过Base64编码,将生成预期的“ZIP”文件。


如上所示,这个ZIP文件包含五个文件:

json-XMRig CPU miner配置文件。
txt -仅包含字符串“zzz”的文本文件。
exe (在旧版本中被命名为fix.exe)-主要的可执行文件。
dll/soundbox.dll-包含一些函数的DLL文件,这些函数将由powered.exe导出。
txt/y.png-二进制blob文件。注意,这不是一个真正的PNG文件。


图2.攻击的之一阶段



图3. config.json-一个XMRig配置文件,包含钱包地址和私有采矿池

在仿真环境中,可执行文件不会执行任何操作。

在提取所有文件之后,md5.txt文件(“zzz”)的内容将附加到相关的DLL文件(sandbox.dll\active_desktop_render_x64.dll,两者中的内容相同)。不过,Check Point表示他们还没有看到这种行为对恶意软件活动产生任何影响。

powered.exe/fix.exe文件被调用并执行,以创建XMRig miner文件和几个值为“Test”的新注册表项。



图4. DLL文件中包含的函数

可执行文件会从DLL文件中调用以下函数:

ClearDesktopMonitorHook-该函数返回值1。可能会在未来的版本中使用。
King1-创建一个线程并解码相关二进制blob文件(txt/y.png)的内容。结果是一个可执行文件,它是XMRig CPU miner的一个精简版本,只保留了主函数。
DLL文件包含四个附加函数,可能会在未来的版本中使用:

King2-返回值1。
King3-返回值1。
King4-返回值1。
SetDesktopMonitorHook-调用King1。


图5.函数“king1”,创建一个线程并将二进制blob y.png/x.txt作为参数。



图6.攻击的第二阶段

XMRig CPU Miner运行,并耗尽受害者设备的全部CPU资源

虽然被配置为占用75%的CPU资源,但它实际占用的是100%。



图7:恶意powered.exe文件占用了100%的CPU资源

KingMiner的演变
Check Point的研究人员在KingMiner过去6个月的整个演变过程中,一直在监控它的活动。自首次出现以来,KingMiner已经发布了两个新版本。该恶意软件一直在不断地添加新的功能和逃避技术,以绕过仿真环境。



此外,作为该恶意软件不断发展的一部分,Check Point发现许多占位符被用于未来的操作或即将发布的更新,这将使得这种恶意软件更加难以检测。

逃避技术
逃避技术的使用是一次成功攻击的重要组成部分。几种相对简单的机制使得该恶意软件能够绕过常见的仿真环境和安全检测 *** :

对zip/64p.zip文件进行混淆处理-ZIP文件包含基本的XML格式数据。在解析后,可以看到预期的ZIP文件。
主要的可执行文件,exe (在旧版本中被命名为fix.exe),从DLL文件(sandbox.dll/active_desktop_render_x64.dll)导出函数。仅执行可执行文件,确保任何活动不被发现。
将txt的内容附加到DLL文件(sandbox.dll/active_desktop_render_x64.dll)。
将txt/y.png的内容解码为可执行文件XMRig CPU miner。
这些逃避技术似乎大大降低了检测率,以下是在VirusTotal中的检测结果:



威胁情报
KingMiner的运营者使用了私有采矿池来阻止对其活动的任何监视。目前,采矿池的API已经被关闭,所涉及的钱包也没有在任何公共采矿池中使用。Check Point表示,他们尚没有能够明确KingMiner使用了哪些域名,因为攻击者采用的是私有域名。然而,与之相关的攻击目前正在大范围蔓延,从墨西哥到印度,以及挪威和以色列。



总结
KingMiner是一种仍在不断发展的Crypto-Mining恶意软件,它可以绕过常见的安全检测和仿真环境。通过实施简单的逃避技术,攻击者能够增加攻击成功的概率。Check Point预测,这样的逃避技术将在2019年继续发展,并成为Crypto-Mining攻击的主要(以及更常见的)组成部分。

相关文章

怎么找到黑客的网站(哪里可以找到黑客)-模拟黑客打代码的网站

怎么找到黑客的网站(哪里可以找到黑客)-模拟黑客打代码的网站

怎么找到黑客的网站(哪里可以找到黑客)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑客、黑客...

狗狗是怎么训练出来的(训狗有什么好的方法)

狗狗是怎么训练出来的(训狗有什么好的方法)

狗狗训练方法之奖励性训练 动物驯养方法,一般有两种:一种是所谓“暴力胁迫”,这往往会滋生厌恶反感情绪,而第二种就是“奖励”。要知道,不管是对狗狗还是对人类自己,后者都容易得多,事实上这也是一种爱心与...

百家讲坛喻大华道光(喻大华道光与鸦片战争)

下载安装硕鼠视频下载器打开-常用网址cntv-栏目-央视栏目大全-进入百家讲坛官网-在左侧有个查询输入道光与鸦片战争-点击道光与鸦片战争进入分集视频-选择一个。 百家讲坛20081024_道光与鸦片战...

磨颧骨需要多少钱,颧骨可以磨多少毫米呢

  颧骨较量宽,想要做磨骨把颧骨磨小,或许需要几多钱呢?   你好,1,磨颧骨的用度和顾主的个别因几多钱素有关顾主的面部大概会存在颧骨肥大,高耸的环境,面中部增宽呈菱形面目面貌;严重者还会呈现面中部塌...

房产知识: 小产权房有房产证吗这个有谁知道啊

相信现在有很多的朋友们对于 小产权房有房产证吗这个有谁知道啊都想要了解吧,那么今天小编就来给大家针对 小产权房有房产证吗这个有谁知道啊进行一个介绍吧,希望小编介绍的内容能够为大家起到帮助哦 小产权...

黑客主要用社会工程学来()(黑客主要用社会工程学来)

黑客主要用社会工程学来()(黑客主要用社会工程学来)

黑客说的“社会工程学”是什么? 1、社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。不幸的是,这种手段非常有效,而且应用效率极高。事实上,社会工程学已是企业安全最大的威胁之一。世界第一黑客...