今年7月,騰訊安全御見威脅情報中心首次監測到KoiMiner木馬,利用Apache Struts2的高危漏洞入侵企業服務器進行挖礦;11月,再次發現升級到6.0版本的KoiMiner挖礦木馬變種,專門針對企業SQL Server服務器的1433端口爆破攻擊進行蠕蟲式傳播。

近期,KoiMiner木馬的蹤跡再次被騰訊安全御見威脅情報中心監測捕捉,此次的樣本依然專門針對企業1433端口,控制企業機器后進一步植入挖礦木馬進行挖礦獲利。目前,騰訊安全團隊通過溯源分析已鎖定發起該木馬攻擊活動的疑似團伙和控制者。

通過與之前的攻擊活動進行對比分析,騰訊安全專家指出,在此次的KoiMiner木馬攻擊中不法黑客使用的爆破工具加密方式與7月份發現的木馬樣本保持一致。解密后樣本以模塊名“koi”加載執行,在云端配置文件的保存方式、加密方式均與7月攻擊事件中的相同,都采用web頁面保存,并通過改造后的base64算法進行加密。

在成功入侵機器后,攻擊者會首先植入Zegost遠程控制木馬。據了解,這是知名遠控木馬Gh0st的修改版本,安裝運行后與控制端建立聯系,導致服務器被不法黑客完全控制,受害者機器的鍵盤記錄等一系列功能都會被攻擊者掌控,之后再進一步植入挖礦木馬,通過挖取門羅幣獲利。

　　(圖:病毒作者在黑客論壇傳播挖礦木馬生成器)

騰訊安全御見威脅情報中心通過追溯此次不法黑客攻擊使用的SQL爆破工具的解壓路徑“1433騰龍3.0”,發現了一個與攻擊事件相關聯的黑客技術論壇——騰龍技術論壇,并經過信息對比,確認了其中某位活躍成員與C2地址的某個可疑域名注冊者為同一人。從現有的線索來看,該成員在該黑客論壇下載的挖礦木馬生成器生成了此次傳播的挖礦木馬執行文件。由此可以推測,“KoiMiner”系列攻擊事件應該是該技術論壇資深成員或團隊所為,不法黑客利用所學到的遠程攻擊技術攻擊并控制受害用戶機器作為肉雞,植入挖礦木馬牟利。這種使用非法手段入侵企業網絡、并利用他人計算機系統挖礦的行為已觸犯國家法律。

　　(圖:騰訊御點終端安全管理系統成功攔截該木馬病毒)

對此,騰訊安全專家提醒企業用戶,應提高警惕,應及時加固SQL Server服務器,修補服務器安全漏洞;采用安全的密碼策略,避免使用弱口令,特別是sa賬號密碼,防止不法黑客暴力破解。針對KoiMiner挖礦木馬的特性,企業用戶可在原始配置基礎上更改默認1433端口設置,并設置訪問規則、拒絕1433端口探測。推薦用戶使用騰訊御知網絡空間風險雷達進行風險掃描和安全監控,并部署騰訊御點終端安全管理系統防范惡意攻擊。企業網站管理員可使用騰訊云網站管家智能防護平臺,目前該系統已具備Web入侵防護,0Day漏洞補丁修復等多緯度防御策略,可全面保護網站系統安全。