安全是有分量的

高防ddos_国内高防bgp服务器_方法

2022-06-23 05:10栏目:锐观点

高防ddos_国内高防bgp服务器_方法

加密劫持僵尸网络Kingminer僵尸网络的运营商正试图通过在易受攻击的受感染计算机上应用来自微软的修补程序来锁定其他威胁参与者,对网,以保持其业务的蓬勃发展。他们可能会要求从中分一杯羹。

Kingminer已经存在了大约两年,并继续在SQL服务器上强行安装用于Monero的XMRig加密货币miner。

Sophos网络安全公司研究人员的最新报告显示,防火墙防御cc,僵尸网络运营商在其最新活动中开始使用永恒蓝漏洞,并关闭了远程访问其受损系统的大门。

从暴力攻击到完全控制

攻击始于Kingminer暴力攻击公开暴露的SQL服务器,直到他们猜到"SA"或系统管理员帐户的正确密码。

获得服务器访问权限后,将下载其他脚本,有效的DDos防御,以允许完全控制机器。他们正在使用"xp_cmdshell"Microsoft SQL存储过程,该过程允许执行SQL语句来启动Windows命令shell。

由于这些命令在MSSQL Windows服务的上下文中运行,多服务器防御ddos,因此它们继承相同的权限,这些权限高于标准用户。最终,攻击者通过PowerShell命令获得对服务器的完全访问权限,该命令为他们提供一个远程web shell并安装矿工。

EternalBlue和BlueKeep

在Sophos最近观察到的Kingminer活动中,运营商使用了EternalBlue spreader,尽管交付脚本并没有以成功利用结束。

自从2017年4月被影子经纪黑客集团泄露以来,永恒蓝经常被用于攻击。美国政府将其列为过去几年中最易被利用的十大缺陷之一。

Sophos说Kingminer使用的永恒蓝脚本与另一个加密货币僵尸网络Powerghost/Wannaminer使用的脚本几乎相同恶意软件的一个组成部分是VBScript,用于检查受感染主机运行的Windows版本是否易受Microsoft RDP协议中BlueKeep远程代码执行漏洞(CVE-2019-0708)的攻击:Windows XP、Windows Vista和Windows 7到Windows Server 2003和Windows Server 2008。

由于缺少BlueKeep的修补程序,Kingminer禁用了远程桌面协议,可能会关闭系统与其他加密挖掘僵尸网络的连接。

带有BlueKeep扫描仪的僵尸网络并不新鲜。看起来Kingminer从Watchbog cryptominer那里获得了一页,Watchbog cryptominer的运营商在去年7月添加了该组件。

Sophos发现Kingminer将矿工编译成DLL,linux集群ddos防御,这些DLL由一个用合法证书签名的良性可执行文件侧向加载。

不过,DLL端加载并不是唯一的方法。反射加载依赖于PowerShell,实现了与由EternalBlue spreader组件安装的Windows控制面板小程序相同的目标。

Sophos的报告深入探讨了Kingminer僵尸网络用于加密货币挖掘的技术细节。研究人员的评估是,这是一家中等规模的犯罪企业,有足够的创造力从开源项目开始构建定制解决方案。