テンセント・ユージアン：キングマイナーは数万台のサーバーをコントロールしている

BlockBeatsによると、Tencent SecurityのYujian Threat Intelligence CenterがKingMinerの亜種攻撃を検出したという。 KingMiner は、Windows サーバーの MS SQL に対してブルート フォース攻撃を実行する Monero マイニング トロイの木馬です。このトロイの木馬は2018年6月中旬に初めて登場し、その後すぐに2つの改良版がリリースされました。攻撃者はさまざまな回避手法を使用して仮想マシン環境とセキュリティ検出を回避したため、一部のウイルス対策エンジンでは攻撃者を正確に検出できなくなりました。

KingMiner の現在のバージョンには次の機能があります。

1. ブルートフォース攻撃により MSSQL を悪用して侵入する。

2. WMI タイマーと Windows のスケジュールされたタスクを使用して持続的な攻撃を実行します。

3. CVE-2019-0708 の脆弱性があるマシン上の RDP サービスを無効にして、他のマイニング グループが侵入してマイニング用のサーバー リソースを独占するのを防ぎます。

4. base64 と特別にエンコードされた XML、TXT、PNG ファイルを使用してトロイの木馬プログラムを暗号化します。

5. Microsoft およびいくつかの有名なメーカーの署名ファイルを親プロセスとして使用し、トロイの木馬 DLL を「白 + 黒」で起動します。

テンセント・セキュリティの玉江脅威情報センターの統計によると、キングマイナーは1万台以上のコンピューターに影響を与え、最も被害が大きかったのは広東省、重慶市、北京市、上海市だった。

安全のヒント

Tencent Yujian は、企業が KingMiner マイニングトロイの木馬の技術的特徴に対して的を絞った防御策を講じることを推奨しています。

1. Microsoft の公式発表に従って、権限昇格の脆弱性 CVE-2019-0803 を修正します。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0803

2. SQL Server を強化し、サーバーのセキュリティ脆弱性を修正します。安全なパスワード ポリシーと強力なパスワードを使用します。ハッカーによるブルートフォース攻撃を防ぐために、弱いパスワード、特に sa アカウント パスワードを引き続き使用しないでください。

3. SQL Sever サービスのデフォルト ポートを変更し、元の構成に基づいてデフォルトの 1433 ポート設定を変更し、1433 ポートの検出を拒否するアクセス ルールを設定します。

4. 企業ユーザーは、このような攻撃を防ぐために、サーバーに Tencent Yudian 端末セキュリティ管理システムを導入できます。

5. 企業には、未知のハッカーによるさまざまな疑わしい攻撃行為を検出するために、Tencent Yujie の高度な脅威検出システムを使用することをお勧めします。 Yujie 高度脅威検出システムは、テンセントのウイルス対策研究所のセキュリティ機能に基づいて開発され、クラウドと端末にあるテンセントの膨大なデータに依存している独自の脅威インテリジェンスおよび悪意のある検出モデル システムです。 （https://s.tencent.com/product/gjwxjc/index.html）