加密货币挖掘操作可强制访问Windows服务器，并利用CPU周期创建门罗币

加密货币挖掘操作可强制访问Windows服务器，并利用CPU周期创建门罗币。

近期发现，加密货币挖掘操作可强制访问Windows服务器，并利用CPU周期创建门罗币。六个月前检测到该活动，自此该活动已经过多个阶段的进化。

六月中旬检测到该活动后，该恶意软件已进行两次更新，且从未停止攻击。

E挖掘门罗币与逃避检测

CheckPoint研究人员分析了该新威胁，并将其命名为“KingMiner”。研究人员发现，此次威胁专门针对微软IIS与SQL服务器，并利用暴力破解攻击获取访问权。成功入侵后，恶意软件将确定CPU架构，检查其自身的旧版本并删除它们。

该恶意软件利用免费提供的XMRig矿工创建门罗币，为免受窥视，其私人采矿池所在的配置文件禁用了API。

为防止研究人员检测它的余额，其文件中显示的钱包地址并不用于公共挖矿。

据研究人员称，配置规定矿工可使用75%的CPU资源，但可能由于代码中存在错误，实际操作中，矿工使用了100%的处理器。

KingMiner实现了多种针对仿真环境的防御，并利用伪装为ZIP文件的XML有效负载检测并记录某些防病毒引擎的低速率。

CheckPoint表示，“使用逃避技术是成功发起攻击的重要因素。”并补充道，该恶意软件用以绕过仿真与检测方法的技术并不复杂。

在六月到十月的这三个月中，KingMiner不断通过混淆有效载荷与修改挖矿程序所用的配置文件进行改进。

所有这些修改都可降低VirusTotal的检测率，该恶意软件的最新两个版本仅被不到7个防病毒引擎标记为恶意软件。

CheckPoint遥测数据表明，KingMiner感染范围“从墨西哥到印度，从挪威到以色列。”

KingMiner使用简单的方法便可成功躲过安全产品的检查。该公司预测，2019年，加密挖掘攻击将继续发展并且在逃避检测方面更成熟。