新しいセキュリティレポートは、KingMiner暗号マイニング操作がMSSQLに対する新しい攻撃でゲームに戻ったことを示しています (Microsoft SQL) データベース.
このようなデータベースの所有者は、サーバーを保護する必要があります, ソフォスの研究者は、「のパスワードを推測しようとするブルートフォース攻撃を検出しました。sa」, またはサーバー管理者アカウント.
攻撃者が標的のMSSQLデータベースへの侵入に成功すると, 「dbhelp」と呼ばれる新しいデータベースユーザーを作成します. この悪意のある操作の次のステップは、サーバーのリソースを活用する有名なKingMiner暗号通貨マイナーをインストールすることです.
KingMinerボットネットの最新の攻撃
によると ソフォソレポート (PDF), 「「KingMinerは、静かに保ち、レーダーの下を飛ぶ日和見ボットネットです」. そのオペレーターは機知に富んでいますが、限られたリソースしか持っていません, 自由に利用できるツールと、操作に含まれる概念からわかるように. 以来アクティブ 2018, ボットネットは最近、EternalBlueエクスプロイトの実験を開始しました.
感染プロセスでは、特権昇格のエクスプロイトが使用される可能性があります (CVE-2017-0213またはCVE2019-0803) オペレーティングシステムがそれらのアクティビティをブロックするのを防ぐため. オペレーターは、オープンソースまたはパブリックドメインソフトウェアの使用を好みます (PowerSploitやMimikatzのように) ソースコードをカスタマイズおよび拡張するのに十分なスキルを持っている. また、Gh0stRATやGatesバックドアなどの公開されているマルウェアファミリも使用しています。.
ギャングによって展開される他の技術には、DLLサイドローディングが含まれます, およびDGA (ドメイン名ジェネレータアルゴリズム) 毎週自動的にホスティングドメインを変更します.
これらの最近の攻撃で最も特異なことの1つは、KingMinerオペレーターがBlueKeepの脆弱性に対してシステムに「パッチを適用」することです。:
感染したコンピューターにBluekeepの脆弱性に対するパッチが適用されていない場合, KingMinerは、競合するボットネットをロックアウトするために、脆弱なRDPサービスを無効にします.
十一月に 2018, KingMinerは もう一度Microsoftサーバーをターゲットにする, 主にIISSQL, ブルートフォース攻撃を使用してパスワードを推測しようとする. アクセスが取得されたら, マルウェアはWindowsスクリプトレットファイルをダウンロードします (.sct) 被害者のコンピューターで実行します. 分析は、鉱夫が使用するように構成されていることを示しました 75% 感染したマシンのCPU容量の. でも, コーディングエラーは実際には 100% CPUの使用率.
マルウェアのマイニングプールについて, それはプライベートであり、APIはオフにされていました, 財布は公共のマイニングプールで使用されたことはありません. これにより、研究者が使用中のドメインを追跡することはかなり不可能になりました, またはマイニングされたMoneroコインの量を定義します.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: