“GuangZhou KuGou Computer Technology Co.,Ltd.”
“Google Inc”
“福建創意嘉和軟件有限公司”
KingMiner利用的白文件簽名
4.3持久化攻擊
4.3.1 計劃任務
KingMiner使用RegisterTaskDefinition創建名為WindowsMonitor的計劃任務,每15分鐘執行一次Powershell腳本;或者安裝在系統啟動時執行的計劃任務WindowsHelper,并在WindowsHelper中安裝計劃任務WindowsMonitor執行一次VBS腳本代碼。
KingMiner安裝計劃任務
4.3.2 WMI計時器
KingMiner在WMI中創建為名為WindowsSystemUpdate_WMITimer的計時器,并將執行一段腳本代碼的事件消費者WindowsSystemUpdate_consumer通過事件過濾器WindowsSystemUpdate _filter綁定到計時器。隨著計時器觸發,每15分鐘執行一次VBS腳本代碼。
KingMiner安裝WMI計時器
4.3.3 阻斷外部入侵
KingMiner判斷計算機版本是否受CVE-2019-0708漏洞的影響,同時判斷計算機是否安裝指定的補丁kb4499175、kb4500331、KB4499149、KB4499180、KB4499164(這些補丁是微軟發布的CVE-2019-0708遠程桌面服務遠程代碼執行漏洞的補丁號)。
如果沒有安裝CVE-2019-0708補丁,則修改設置禁止其他機器通過遠程桌面服務訪問本機,以此來來阻止其他木馬進入系統,從而達到獨占挖礦資源的目的。
KingMiner關閉RDP服務
五、挖礦木馬防御和處置建議
5.1防御方案
5.1.1 密碼管理
服務器使用安全的密碼策略,特別是SQL服務器的sa賬號密碼,切勿以下弱口令;
123456、admin、root、123456789、qwert、password、1234567、12345678、12345、lloveyou、111111、123123、888888、1234567890、88888888、666666等
5.1.2 端口管理
服務器暫時關閉不必要的端口(如135、139、445、3389),方法可參考:https://guanjia.qq.com/web_clinic/s8/585.html;
企業用戶可部署騰訊T-sec高級威脅檢測系統(騰訊御界),發現、追蹤黑客攻擊線索。騰訊T-sec高級威脅檢測系統是基于騰訊安全反病毒實驗室的安全能力、依托騰訊在云和端的海量數據(603138,股吧),研發出的獨特威脅情報和惡意檢測模型系統。(https://s.tencent.com/product/gjwxjc/index.html)
此文由 中國比特幣官網 編輯,未經允許不得轉載?。?a href="http://www.huohuxiazai.com/">首頁 > 比特幣挖礦 » 騰訊安全發布2019年度挖礦木馬報告(全文)