今年7月，騰訊安全御見(jiàn)威脅情報(bào)中心首次監(jiān)測(cè)到KoiMiner木馬，利用Apache Struts2的高危漏洞入侵企業(yè)服務(wù)器進(jìn)行挖礦;11月，再次發(fā)現(xiàn)升級(jí)到6.0版本的KoiMiner挖礦木馬變種，專門針對(duì)企業(yè)SQL Server服務(wù)器的1433端口爆破攻擊進(jìn)行蠕蟲(chóng)式傳播。

近期，KoiMiner木馬的蹤跡再次被騰訊安全御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)捕捉，此次的樣本依然專門針對(duì)企業(yè)1433端口，控制企業(yè)機(jī)器后進(jìn)一步植入挖礦木馬進(jìn)行挖礦獲利。目前，騰訊安全團(tuán)隊(duì)通過(guò)溯源分析已鎖定發(fā)起該木馬攻擊活動(dòng)的疑似團(tuán)伙和控制者。

通過(guò)與之前的攻擊活動(dòng)進(jìn)行對(duì)比分析，騰訊安全專家指出，在此次的KoiMiner木馬攻擊中不法黑客使用的爆破工具加密方式與7月份發(fā)現(xiàn)的木馬樣本保持一致。解密后樣本以模塊名“koi”加載執(zhí)行，在云端配置文件的保存方式、加密方式均與7月攻擊事件中的相同，都采用web頁(yè)面保存，并通過(guò)改造后的base64算法進(jìn)行加密。

在成功入侵機(jī)器后，攻擊者會(huì)首先植入Zegost遠(yuǎn)程控制木馬。據(jù)了解，這是知名遠(yuǎn)控木馬Gh0st的修改版本，安裝運(yùn)行后與控制端建立聯(lián)系，導(dǎo)致服務(wù)器被不法黑客完全控制，受害者機(jī)器的鍵盤記錄等一系列功能都會(huì)被攻擊者掌控，之后再進(jìn)一步植入挖礦木馬，通過(guò)挖取門羅幣獲利。

　　(圖：病毒作者在黑客論壇傳播挖礦木馬生成器)

騰訊安全御見(jiàn)威脅情報(bào)中心通過(guò)追溯此次不法黑客攻擊使用的SQL爆破工具的解壓路徑“1433騰龍3.0”，發(fā)現(xiàn)了一個(gè)與攻擊事件相關(guān)聯(lián)的黑客技術(shù)論壇——騰龍技術(shù)論壇，并經(jīng)過(guò)信息對(duì)比，確認(rèn)了其中某位活躍成員與C2地址的某個(gè)可疑域名注冊(cè)者為同一人。從現(xiàn)有的線索來(lái)看，該成員在該黑客論壇下載的挖礦木馬生成器生成了此次傳播的挖礦木馬執(zhí)行文件。由此可以推測(cè)，“KoiMiner”系列攻擊事件應(yīng)該是該技術(shù)論壇資深成員或團(tuán)隊(duì)所為，不法黑客利用所學(xué)到的遠(yuǎn)程攻擊技術(shù)攻擊并控制受害用戶機(jī)器作為肉雞，植入挖礦木馬牟利。這種使用非法手段入侵企業(yè)網(wǎng)絡(luò)、并利用他人計(jì)算機(jī)系統(tǒng)挖礦的行為已觸犯國(guó)家法律。

　　(圖：騰訊御點(diǎn)終端安全管理系統(tǒng)成功攔截該木馬病毒)

對(duì)此，騰訊安全專家提醒企業(yè)用戶，應(yīng)提高警惕，應(yīng)及時(shí)加固SQL Server服務(wù)器，修補(bǔ)服務(wù)器安全漏洞;采用安全的密碼策略，避免使用弱口令，特別是sa賬號(hào)密碼，防止不法黑客暴力破解。針對(duì)KoiMiner挖礦木馬的特性，企業(yè)用戶可在原始配置基礎(chǔ)上更改默認(rèn)1433端口設(shè)置，并設(shè)置訪問(wèn)規(guī)則、拒絕1433端口探測(cè)。推薦用戶使用騰訊御知網(wǎng)絡(luò)空間風(fēng)險(xiǎn)雷達(dá)進(jìn)行風(fēng)險(xiǎn)掃描和安全監(jiān)控，并部署騰訊御點(diǎn)終端安全管理系統(tǒng)防范惡意攻擊。企業(yè)網(wǎng)站管理員可使用騰訊云網(wǎng)站管家智能防護(hù)平臺(tái)，目前該系統(tǒng)已具備Web入侵防護(hù)，0Day漏洞補(bǔ)丁修復(fù)等多緯度防御策略，可全面保護(hù)網(wǎng)站系統(tǒng)安全。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。