“GuangZhou KuGou Computer Technology Co.,Ltd.”
“Google Inc”
“福建创意嘉和软件有限公司”
KingMiner利用的白文件签名
4.3持久化攻击
4.3.1 计划任务
KingMiner使用RegisterTaskDefinition创建名为WindowsMonitor的计划任务,每15分钟执行一次Powershell脚本;或者安装在系统启动时执行的计划任务WindowsHelper,并在WindowsHelper中安装计划任务WindowsMonitor执行一次VBS脚本代码。
KingMiner安装计划任务
4.3.2 WMI计时器
KingMiner在WMI中创建为名为WindowsSystemUpdate_WMITimer的计时器,并将执行一段脚本代码的事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate _filter绑定到计时器。随着计时器触发,每15分钟执行一次VBS脚本代码。
KingMiner安装WMI计时器
4.3.3 阻断外部入侵
KingMiner判断计算机版本是否受CVE-2019-0708漏洞的影响,同时判断计算机是否安装指定的补丁kb4499175、kb4500331、KB4499149、KB4499180、KB4499164(这些补丁是微软发布的CVE-2019-0708远程桌面服务远程代码执行漏洞的补丁号)。
如果没有安装CVE-2019-0708补丁,则修改设置禁止其他机器通过远程桌面服务访问本机,以此来来阻止其他木马进入系统,从而达到独占挖矿资源的目的。
KingMiner关闭RDP服务
五、挖矿木马防御和处置建议
5.1防御方案
5.1.1 密码管理
服务器使用安全的密码策略,特别是SQL服务器的sa账号密码,切勿以下弱口令;
123456、admin、root、123456789、qwert、password、1234567、12345678、12345、lloveyou、111111、123123、888888、1234567890、88888888、666666等
5.1.2 端口管理
服务器暂时关闭不必要的端口(如135、139、445、3389),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html;
企业用户可部署腾讯T-sec高级威胁检测系统(腾讯御界),发现、追踪黑客攻击线索。腾讯T-sec高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据(603138,股吧),研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)
此文由 比特币官网 编辑,未经允许不得转载!:首页 > 比特币挖矿 » 腾讯安全发布2019年度挖矿木马报告(全文)