En ny sikkerhedsrapport viser, at KingMiner-krypto-minedrift er tilbage i spillet med nye angreb mod MSSQL (Microsoft SQL) databaser.
Ejere af sådanne databaser skal sikre deres servere, som Sophos-forskere opdagede angreb fra brute-force, der forsøgte at gætte adgangskoden til "til", eller serveradministrator-konto.
Når angribere først lykkes med at bryde ind i den målrettede MSSQL-database, de opretter en ny databasebruger kaldet "dbhelp". Det næste trin i denne ondsindede operation er at installere den velkendte KingMiner cryptocurrency miner, der udnytter serverens ressourcer.
De seneste angreb fra KingMiner Botnet
Ifølge Sophos rapport (PDF), "KingMiner er et opportunistisk botnet, der holder stille og flyver under radaren". Dets operatører er ressourcerige, men de har begrænsede ressourcer, som synlige ved de frit tilgængelige værktøjer og koncepter, de inkluderer i deres operationer. Aktiv siden 2018, botnet begyndte for nylig at eksperimentere med EternalBlue-udnyttelsen.
Infektionsprocessen kan bruge en udnyttelse af privilegierne (CVE-2017-0213 eller CVE2019-0803) for at forhindre, at operativsystemet blokerer for deres aktiviteter. Operatørerne foretrækker at bruge open source eller public domain software (som PowerSploit eller Mimikatz) og har nok færdigheder til at foretage tilpasning og forbedringer af kildekoden. De bruger også offentligt tilgængelige malware-familier som Gh0st RAT eller Gates bagdør.
Andre teknikker anvendt af banden inkluderer DLL side-indlæsning, og DGA (domænenavn generator algoritme) for automatisk at ændre hosting-domænerne ugentligt.
En af de mest særlige ting i disse nylige angreb er, at KingMiner-operatører “patch” -systemer mod BlueKeep-sårbarheden:
Hvis den inficerede computer ikke er rettet mod Bluekeep-sårbarheden, KingMiner deaktiverer den sårbare RDP-tjeneste for at låse konkurrerende botnet.
i november 2018, KingMiner var igen målrettet mod Microsoft-servere, meste IIS SQL, forsøger at gætte deres adgangskoder ved hjælp af brute-force-angreb. Når adgang var opnået, malware vil downloade en Windows Scriptlet-fil (.sct) og henrettes på offerets computer. Analysen viste, at miner var konfigureret til at bruge 75% af CPU kapacitet af den inficerede maskine. Men, kodningsfejl ville faktisk gøre det til 100% udnyttelse af CPU.
Som for minedrift pulje af malware, det var privat, og API'et var slået fra, med tegnebogen aldrig blevet brugt i offentlige minepooler. Dette gjorde det temmelig umuligt for forskere at spore de domæner, der var i brug, eller at definere mængden af minerede Monero mønter.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: