|
更多全球網(wǎng)絡(luò)安全資訊盡在E安全官網(wǎng)www. 小編來報:加密貨幣挖掘操作可強制訪問Windows服務(wù)器��,并利用CPU周期創(chuàng)建***�����。 近期發(fā)現(xiàn)�,加密貨幣挖掘操作可強制訪問Windows服務(wù)器�,并利用CPU周期創(chuàng)建***�。六個月前檢測到該活動,自此該活動已經(jīng)過多個階段的進化�����。 
六月中旬檢測到該活動后�,該惡意軟件已進行兩次更新,且從未停止攻擊����。
CheckPoint研究人員分析了該新威脅,并將其命名為“KingMiner”����。研究人員發(fā)現(xiàn),此次威脅專門針對微軟IIS與SQL服務(wù)器��,并利用暴力破解攻擊獲取訪問權(quán)�����。成功入侵后�,惡意軟件將確定CPU架構(gòu),檢查其自身的舊版本并刪除它們����。
該惡意軟件利用免費提供的XMRig礦工創(chuàng)建***�����,為免受窺視�����,其私人采礦池所在的配置文件禁用了API���。 為防止研究人員檢測它的余額,其文件中顯示的錢包地址并不用于公共挖礦��。 據(jù)研究人員稱�����,配置規(guī)定礦工可使用75%的CPU資源����,但可能由于代碼中存在錯誤���,實際操作中�,礦工使用了100%的處理器。 
KingMiner實現(xiàn)了多種針對仿真環(huán)境的防御���,并利用偽裝為ZIP文件的XML有效負載檢測并記錄某些防病毒引擎的低速率��。 CheckPoint表示�����,“使用逃避技術(shù)是成功發(fā)起攻擊的重要因素�����?!辈⒀a充道��,該惡意軟件用以繞過仿真與檢測方法的技術(shù)并不復(fù)雜�����。 在六月到十月的這三個月中�,KingMiner不斷通過混淆有效載荷與修改挖礦程序所用的配置文件進行改進。 
所有這些修改都可降低VirusTotal的檢測率����,該惡意軟件的最新兩個版本僅被不到7個防病毒引擎標記為惡意軟件���。 CheckPoint遙測數(shù)據(jù)表明,KingMiner感染范圍“從墨西哥到印度����,從挪威到以色列?��!?/span> 
KingMiner使用簡單的方法便可成功躲過安全產(chǎn)品的檢查�。該公司預(yù)測���,2019年���,加密挖掘攻擊將繼續(xù)發(fā)展并且在逃避檢測方面更成熟。 注:本文由E安全編譯報道,轉(zhuǎn)載請注明原文地址
https://www.
|
