比特币官网

腾讯安全发布2019年度挖矿木马报告(全文)

  “GuangZhou KuGou Computer Technology Co.,Ltd.”

  “Google Inc”

  “福建创意嘉和软件有限公司”

腾讯安全发布2019年度挖矿木马报告(全文)

腾讯安全发布2019年度挖矿木马报告(全文)

腾讯安全发布2019年度挖矿木马报告(全文)


腾讯安全发布2019年度挖矿木马报告(全文)

  KingMiner利用的白文件签名

  4.3持久化攻击

  4.3.1 计划任务

  KingMiner使用RegisterTaskDefinition创建名为WindowsMonitor的计划任务,每15分钟执行一次Powershell脚本;或者安装在系统启动时执行的计划任务WindowsHelper,并在WindowsHelper中安装计划任务WindowsMonitor执行一次VBS脚本代码。

腾讯安全发布2019年度挖矿木马报告(全文)

  KingMiner安装计划任务

  4.3.2 WMI计时器

  KingMiner在WMI中创建为名为WindowsSystemUpdate_WMITimer的计时器,并将执行一段脚本代码的事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate _filter绑定到计时器。随着计时器触发,每15分钟执行一次VBS脚本代码。

腾讯安全发布2019年度挖矿木马报告(全文)

  KingMiner安装WMI计时器

  4.3.3 阻断外部入侵

  KingMiner判断计算机版本是否受CVE-2019-0708漏洞的影响,同时判断计算机是否安装指定的补丁kb4499175、kb4500331、KB4499149、KB4499180、KB4499164(这些补丁是微软发布的CVE-2019-0708远程桌面服务远程代码执行漏洞的补丁号)。

  如果没有安装CVE-2019-0708补丁,则修改设置禁止其他机器通过远程桌面服务访问本机,以此来来阻止其他木马进入系统,从而达到独占挖矿资源的目的。

腾讯安全发布2019年度挖矿木马报告(全文)

  KingMiner关闭RDP服务

  五、挖矿木马防御和处置建议

  5.1防御方案

  5.1.1 密码管理

  服务器使用安全的密码策略,特别是SQL服务器的sa账号密码,切勿以下弱口令;

  123456、admin、root、123456789、qwert、password、1234567、12345678、12345、lloveyou、111111、123123、888888、1234567890、88888888、666666等

  5.1.2 端口管理

  服务器暂时关闭不必要的端口(如135、139、445、3389),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html;

  企业用户可部署腾讯T-sec高级威胁检测系统(腾讯御界),发现、追踪黑客攻击线索。腾讯T-sec高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据(603138,股吧),研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)

此文由 比特币官网 编辑,未经允许不得转载!:首页 > 比特币挖矿 » 腾讯安全发布2019年度挖矿木马报告(全文)