ice 安全研究人员近期发现KoiMiner挖矿木马变种,该变种的挖矿木马已升级到6.0版本,木马作者对部分代码加密的方法来对抗研究人员调试分析,木马专门针对企业SQL Server 服务器的1433端口爆破攻击进行蠕虫式传播。目前,KoiMiner挖矿木马已入侵控制超过5000台SQL Server服务器,对企业数据安全构成重大威胁。该病毒在全国各地均有分布,广东、山东、广西位居前三。
安全专家建议企业网管对SQL Server服务器做重点加固,停止使用简单密码,防止服务器被黑客暴力破解入侵。网管亦可在服务器部署腾讯御点终端安全管理系统防范此类病毒入侵。
与2018年7月发现的KoiMiner对比,该变种具有以下变化:
1、全部代码加密改为部分代码加密;
2、Apache Struts2漏洞攻击改为SQL Server 1433端口爆破;
3、下载的挖矿木马由直接下载PE可执行文件改为从图片中获取二进制代码再生成本地执行的挖矿木马。
挖矿木马x64.exe
使用C#编写,部分代码使用加密函数进行加密,运行过程中调用JvcPLNnlO0s99rHu6y进行解密。
主要类功能如下:
CreateFileByHex 将下载的二进制创建PE文件
ExecCommand 启动指定文件
MainEntrance 控制挖矿进程、保护进程启动及停止
ProExecution 创建挖矿文件路径、命令行,结束杀软
Program 主类
ProtectEntrance 监控重启挖矿进程、结束其他高占用CPU进程
SetFileAttritubes 设置文件隐藏、系统权限可读属性以及安全属性
TheFirstRun 首次运行复制自身到指定目录、判断是否具有admin权限、创建互斥体
安全建议
1、加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略 ,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。
2、修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。
