“GuangZhou KuGou Computer Technology Co.,Ltd.”

　　“Google Inc”

　　“福建創意嘉和軟件有限公司”

　　KingMiner利用的白文件簽名

　　4.3持久化攻擊

　　4.3.1 計劃任務

　　KingMiner使用RegisterTaskDefinition創建名為WindowsMonitor的計劃任務，每15分鐘執行一次Powershell腳本；或者安裝在系統啟動時執行的計劃任務WindowsHelper，并在WindowsHelper中安裝計劃任務WindowsMonitor執行一次VBS腳本代碼。

　　KingMiner安裝計劃任務

　　4.3.2 WMI計時器

　　KingMiner在WMI中創建為名為WindowsSystemUpdate_WMITimer的計時器，并將執行一段腳本代碼的事件消費者WindowsSystemUpdate_consumer通過事件過濾器WindowsSystemUpdate _filter綁定到計時器。隨著計時器觸發，每15分鐘執行一次VBS腳本代碼。

　　KingMiner安裝WMI計時器

　　4.3.3 阻斷外部入侵

　　KingMiner判斷計算機版本是否受CVE-2019-0708漏洞的影響，同時判斷計算機是否安裝指定的補丁kb4499175、kb4500331、KB4499149、KB4499180、KB4499164（這些補丁是微軟發布的CVE-2019-0708遠程桌面服務遠程代碼執行漏洞的補丁號）。

　　如果沒有安裝CVE-2019-0708補丁，則修改設置禁止其他機器通過遠程桌面服務訪問本機，以此來來阻止其他木馬進入系統，從而達到獨占挖礦資源的目的。

　　KingMiner關閉RDP服務

　　五、挖礦木馬防御和處置建議

　　5.1防御方案

　　5.1.1 密碼管理

　　服務器使用安全的密碼策略，特別是SQL服務器的sa賬號密碼，切勿以下弱口令；

　　123456、admin、root、123456789、qwert、password、1234567、12345678、12345、lloveyou、111111、123123、888888、1234567890、88888888、666666等

　　5.1.2 端口管理

　　服務器暫時關閉不必要的端口（如135、139、445、3389），方法可參考：https://guanjia.qq.com/web_clinic/s8/585.html；

　　企業用戶可部署騰訊T-sec高級威脅檢測系統（騰訊御界），發現、追蹤黑客攻擊線索。騰訊T-sec高級威脅檢測系統是基于騰訊安全反病毒實驗室的安全能力、依托騰訊在云和端的海量數據(603138,股吧)，研發出的獨特威脅情報和惡意檢測模型系統。（https://s.tencent.com/product/gjwxjc/index.html）

繼續閱讀：

此文由 中國比特幣官網 編輯，未經允許不得轉載?。?a href="http://www.huohuxiazai.com/">首頁 > 比特幣挖礦 » 騰訊安全發布2019年度挖礦木馬報告（全文）