• 首页 > 新闻频道 > 即时新闻

    KoiMiner木马再活跃 腾讯安全已初步锁定作案团伙

    2018年12月24日 18:16:53   来源:中文科技资讯

      今年7月,腾讯安全御见威胁情报中心首次监测到KoiMiner木马,利用Apache Struts2的高危漏洞入侵企业服务器进行挖矿;11月,再次发现升级到6.0版本的KoiMiner挖矿木马变种,专门针对企业SQL Server服务器的1433端口爆破攻击进行蠕虫式传播。A3e中文科技资讯

      近期,KoiMiner木马的踪迹再次被腾讯安全御见威胁情报中心监测捕捉,此次的样本依然专门针对企业1433端口,控制企业机器后进一步植入挖矿木马进行挖矿获利。目前,腾讯安全团队通过溯源分析已锁定发起该木马攻击活动的疑似团伙和控制者。A3e中文科技资讯

      通过与之前的攻击活动进行对比分析,腾讯安全专家指出,在此次的KoiMiner木马攻击中不法黑客使用的爆破工具加密方式与7月份发现的木马样本保持一致。解密后样本以模块名“koi”加载执行,在云端配置文件的保存方式、加密方式均与7月攻击事件中的相同,都采用web页面保存,并通过改造后的base64算法进行加密。A3e中文科技资讯

      在成功入侵机器后,攻击者会首先植入Zegost远程控制木马。据了解,这是知名远控木马Gh0st的修改版本,安装运行后与控制端建立联系,导致服务器被不法黑客完全控制,受害者机器的键盘记录等一系列功能都会被攻击者掌控,之后再进一步植入挖矿木马,通过挖取门罗币获利。A3e中文科技资讯

    1.jpgA3e中文科技资讯

      (图:病毒作者在黑客论坛传播挖矿木马生成器)A3e中文科技资讯

      腾讯安全御见威胁情报中心通过追溯此次不法黑客攻击使用的SQL爆破工具的解压路径“1433腾龙3.0”,发现了一个与攻击事件相关联的黑客技术论坛——腾龙技术论坛,并经过信息对比,确认了其中某位活跃成员与C2地址的某个可疑域名注册者为同一人。从现有的线索来看,该成员在该黑客论坛下载的挖矿木马生成器生成了此次传播的挖矿木马执行文件。由此可以推测,“KoiMiner”系列攻击事件应该是该技术论坛资深成员或团队所为,不法黑客利用所学到的远程攻击技术攻击并控制受害用户机器作为肉鸡,植入挖矿木马牟利。这种使用非法手段入侵企业网络、并利用他人计算机系统挖矿的行为已触犯国家法律。A3e中文科技资讯

    2.jpgA3e中文科技资讯

      (图:腾讯御点终端安全管理系统成功拦截该木马病毒)A3e中文科技资讯

      对此,腾讯安全专家提醒企业用户,应提高警惕,应及时加固SQL Server服务器,修补服务器安全漏洞;采用安全的密码策略,避免使用弱口令,特别是sa账号密码,防止不法黑客暴力破解。针对KoiMiner挖矿木马的特性,企业用户可在原始配置基础上更改默认1433端口设置,并设置访问规则、拒绝1433端口探测。推荐用户使用腾讯御知网络空间风险雷达进行风险扫描和安全监控,并部署腾讯御点终端安全管理系统防范恶意攻击。企业网站管理员可使用腾讯云网站管家智能防护平台,目前该系统已具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。A3e中文科技资讯

      来源:XXX(非中文科技资讯)的作品均转载自其它媒体,转载请尊重版权保留出处,一切法律责任自负。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

      如发现本站文章存在问题,提供版权疑问、身份证明、版权证明、联系方式等发邮件至news@citnews.com.cn。

    [上传用户: S011 ]
    分享到微信

    推荐

    新闻

    巨头执着校园社交

    2019年的社交赛道有点热闹,在微信、QQ两座大山之下,新的产品不断涌现。

    互联网+

    拯救脱发、治愈癌症...医疗互联网越慢越好?

    事实上,这大概是中国互联网创业的本质:技术领域的一个概念、一段视频、一份PPT,都会让资本市场异常兴奋,大家都喜欢先奔跑起来,再寻找方向,如团购、外卖、共享单车、特供智能机,莫不如此,医疗互联网身处其中,自然也免不了沾染癫狂习气,只是医疗行业的特殊性不言而喻,或许,越慢越好!

    融合

    高尚大的人工智能背后:真的只是单调、枯燥和密集劳

    总得来说,人工智能有两个重要的支柱,一个是海量的数据、大大的数据;另一个则是高精度算法,显然,算法需要一小撮的天才来编辑和优化,而海量的大数据,除了机器本身的收集能力之外,还需要大量的人工操作,给相关的数据贴上固定的标签。