安全研究人員近期發(fā)現(xiàn)KoiMiner挖礦木馬變種，該變種的挖礦木馬已升級(jí)到6.0版本，木馬作者對部分代碼加密的方法來對抗研究人員調(diào)試分析，木馬專門針對企業(yè)SQL Server 服務(wù)器的1433端口爆破攻擊進(jìn)行蠕蟲式傳播。目前，KoiMiner挖礦木馬已入侵控制超過5000臺(tái)SQL Server服務(wù)器，對企業(yè)數(shù)據(jù)安全構(gòu)成重大威脅。該病毒在全國各地均有分布，廣東、山東、廣西位居前三。

安全專家建議企業(yè)網(wǎng)管對SQL Server服務(wù)器做重點(diǎn)加固，停止使用簡單密碼，防止服務(wù)器被黑客暴力破解入侵。網(wǎng)管亦可在服務(wù)器部署騰訊御點(diǎn)終端安全管理系統(tǒng)防范此類病毒入侵。

與2018年7月發(fā)現(xiàn)的KoiMiner對比，該變種具有以下變化：
1、全部代碼加密改為部分代碼加密；
2、Apache Struts2漏洞攻擊改為SQL Server 1433端口爆破；
3、下載的挖礦木馬由直接下載PE可執(zhí)行文件改為從圖片中獲取二進(jìn)制代碼再生成本地執(zhí)行的挖礦木馬。

挖礦木馬x64.exe
使用C#編寫，部分代碼使用加密函數(shù)進(jìn)行加密，運(yùn)行過程中調(diào)用JvcPLNnlO0s99rHu6y進(jìn)行解密。

主要類功能如下：
CreateFileByHex 將下載的二進(jìn)制創(chuàng)建PE文件
ExecCommand 啟動(dòng)指定文件
MainEntrance 控制挖礦進(jìn)程、保護(hù)進(jìn)程啟動(dòng)及停止
ProExecution 創(chuàng)建挖礦文件路徑、命令行，結(jié)束殺軟
Program 主類
ProtectEntrance 監(jiān)控重啟挖礦進(jìn)程、結(jié)束其他高占用CPU進(jìn)程
SetFileAttritubes 設(shè)置文件隱藏、系統(tǒng)權(quán)限可讀屬性以及安全屬性
TheFirstRun 首次運(yùn)行復(fù)制自身到指定目錄、判斷是否具有admin權(quán)限、創(chuàng)建互斥體

安全建議
1、加固SQL Server服務(wù)器，修補(bǔ)服務(wù)器安全漏洞。使用安全的密碼策略 ，使用高強(qiáng)度密碼，切勿使用弱口令，特別是sa賬號(hào)密碼，防止黑客暴力破解。
2、修改SQL Sever服務(wù)默認(rèn)端口，在原始配置基礎(chǔ)上更改默認(rèn)1433端口設(shè)置，并且設(shè)置訪問規(guī)則，拒絕1433端口探測。

ice

收藏 海報(bào)分享