作為 2018年度最為活躍的挖礦木馬之一，KingMiner今年以來仍在試圖通過不斷的變種攫取企業用戶利益。近日，騰訊安全御見威脅情報中心監測到一例通過爆破攻擊MSSQL服務器進行挖礦的KingMiner變種木馬。截止目前，受攻擊電腦數量已達上萬臺。

　　(圖：KingMiner挖礦木馬變種攻擊流程)

　　此次卷土重來的KingMiner挖礦木馬事件中不難看出，作案團伙展現出了更為多樣的作案能力。其采用“白+黑”方式啟動木馬DLL，利用谷歌等多個知名公司含數字簽名的文件來躲避殺軟檢測，嚴重威脅企業數據安全。目前，騰訊安全終端安全管理系統已對該惡意行為進行全面攔截并查殺。

　　(圖：騰訊安全終端安全管理系統)

　　實際上，網絡黑產早已不再是散兵游勇式的單打獨斗，鏈條化運作特征的產業模式日趨完善。據騰訊安全御見威脅情報中心監測發現，此次KingMiner挖礦木馬新變種，兼具逃避殺軟檢測、清除挖礦競品、持久化攻擊等特點。該木馬首先會根據不同系統版本下載不同Payload文件，進行提權以及門羅幣挖礦;同時安裝WMI定時器和Windows計劃任務來反復執行指定腳本，執行服務器返回的惡意代碼達到持久化攻擊的目的。關閉存在CVE-2019-0708漏洞機器上RDP服務防止其他挖礦團伙入侵，獨占已控制的服務器資源;最后，使用base64和特定編碼的XML，TXT，PNG文件來加密木馬程序。

　　此次更新后KingMiner挖礦木馬的殺傷力不言而喻，一旦爆破成功后，除了挖礦還可能導致關鍵信息泄露，對企業危害嚴重。據監測數據統計，此次有上萬家企業受到KingMiner挖礦木馬攻擊影響，廣東、重慶、北京、上海等地由于經濟發達，成為本次攻擊受害較嚴重的區域。

　　自2018年6月在全球大范圍爆發以來，KingMiner挖礦木馬已衍生了多個變種版本。病毒作者一般針對Windows服務器MSSQL進行攻擊，利用SQL Server弱口令爆破獲取系統權限，進而植入挖礦木馬，給網絡安全造成了極大的威脅。同時，攻擊者還采用了多種逃避技術，繞過虛擬機環境和安全檢測，導致部分反病毒引擎無法準確檢測，給用戶網絡帶來巨大安全隱患。

　　為進一步免受KingMiner挖礦木馬的危害，騰訊安全反病毒實驗室負責人馬勁松提醒廣大企業用戶，建議加固SQL Server服務器，修補服務器安全漏洞和使用安全密碼策略;修改SQL Sever服務默認端口，在原始配置基礎上更改默認1433端口設置，并且設置訪問規則，拒絕1433端口探測;同時使用安全的密碼策略，使用高強度密碼，防止不法黑客暴力破解。此外，還可通過微軟官方公告修復特權提升漏洞CVE-2019-0803。

　　(圖：騰訊安全高級威脅檢測系統)

　　就目前不法黑客攻擊手法來看，提升技術手段和使用可靠的網絡安全產品，是阻斷不法分子入侵的有效方式。對此，騰訊安全技術專家建議企業全網安裝騰訊安全終端安全管理系統、騰訊安全高級威脅檢測系統，在終端安全、邊界安全、網站監測、統一監測方面建立一套集風險監測、分析、預警、響應和可視化為一體的安全體系，可以全方位、立體化保障企業用戶的信息安全。