Ein neuer Sicherheitsbericht zeigt an, dass der KingMiner-Crypto-Mining-Vorgang mit neuen Angriffen gegen MSSQL wieder im Spiel ist (Microsoft SQL) Datenbanken.
Besitzer solcher Datenbanken sollten ihre Server sichern, Als Sophos-Forscher Brute-Force-Angriffe entdeckten, versuchten sie, das Passwort für diezu", oder Serveradministratorkonto.
Sobald es Angreifern gelingt, in die MSSQL-Zieldatenbank einzudringen, Sie erstellen einen neuen Datenbankbenutzer namens "dbhelp".. Der nächste Schritt dieses böswilligen Vorgangs ist die Installation des bekannten KingMiner Cryptocurrency Miner, der die Ressourcen des Servers nutzt.
Die neuesten Angriffe des KingMiner Botnet
Nach Sophos Bericht (PDF), "KingMiner ist ein opportunistisches Botnetz, das ruhig bleibt und unter dem Radar fliegt". Die Betreiber sind einfallsreich, verfügen jedoch nur über begrenzte Ressourcen, wie durch die frei verfügbaren Werkzeuge und Konzepte sichtbar, die sie in ihre Operationen einbeziehen. Aktiv seit 2018, Das Botnetz hat kürzlich begonnen, mit dem EternalBlue-Exploit zu experimentieren.
Der Infektionsprozess verwendet möglicherweise einen Exploit zur Erhöhung von Berechtigungen (CVE-2017-0213 oder CVE2019-0803) um zu verhindern, dass das Betriebssystem seine Aktivitäten blockiert. Die Betreiber bevorzugen Open Source- oder Public Domain-Software (wie PowerSploit oder Mimikatz) und über genügend Fähigkeiten verfügen, um Anpassungen und Verbesserungen am Quellcode vorzunehmen. Sie verwenden auch öffentlich verfügbare Malware-Familien wie die Gh0st RAT oder die Gates-Hintertür.
Andere von der Bande eingesetzte Techniken umfassen das Laden von DLL-Seiten, und DGA (Algorithmus zur Generierung von Domainnamen) um die Hosting-Domains wöchentlich automatisch zu ändern.
Eines der merkwürdigsten Dinge bei diesen jüngsten Angriffen ist, dass KingMiner-Betreiber Systeme gegen die BlueKeep-Sicherheitsanfälligkeit „patchen“:
Wenn der infizierte Computer nicht gegen die Bluekeep-Sicherheitsanfälligkeit gepatcht ist, KingMiner deaktiviert den anfälligen RDP-Dienst, um konkurrierende Botnets zu sperren.
Im November 2018, KingMiner war erneut auf Microsoft Server ausgerichtet, IIS meist SQL, versuchen, ihre Passwörter mithilfe von Brute-Force-Angriffen zu erraten. Sobald der Zugang erhalten wurde, Die Malware würde eine Windows Scriptlet-Datei herunterladen (.SCT) und führen Sie es auf dem Computer des Opfers aus. Die Analyse ergab, dass der Miner für die Verwendung konfiguriert war 75% der CPU-Kapazität der infizierten Maschine. Jedoch, Codierungsfehler würden es tatsächlich schaffen 100% Auslastung der CPU.
Wie für den Bergbau Pool der Malware, Es war privat und die API war deaktiviert, mit der Brieftasche wurde nie in öffentlichen Bergbaubecken verwendet. Dies machte es den Forschern ziemlich unmöglich, die verwendeten Domänen zu verfolgen, oder die Menge der abgebauten Monero Münzen zu definieren,.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: