Вредоносная программа Kingminer представляет собой троянца, который брутфорсит SQL-серверы и устанавливает на них криминальный майнер XMRig для генерации криптовалюты Monero.
В последнее время Kingminer начал использовать эксплойты к EternalBlue для проникновения на серверы и при этом перекрывать удалённый доступ к скомпрометированным системам, чтобы не допустить попадания в них конкурирующих программ. Атака, впрочем, всё равно начинается с брутфорса: Kingminer пытается подобрать пароль системного администратора.
После того, как получен доступ к серверу, загружаются дополнительные скрипты, обеспечивающие полный контроль над машиной. При этом используется процедура xp_cmdshell, позволяющая запускать командную оболочку Windows через SQL-оператор.
Ботнет Kingminer, добывающий криптовалюту Monero, нейтрализует уязвимость, которой пользуется сам, чтобы отсечь конкурентовПоскольку команда запускается в контексте службы MS SQL, наследуются те же права доступа, а они выше, чем привилегии стандартного пользователя. В конце концов, злоумышленники получают возможность установить на сервер всё, что им нужно через команды PowerShell.
Разбили в пух и прах проклятых конкурентовПо данным компании Sophos, в самых недавних кампаниях Kingminer использовался печально известный эксплойт EternalBlue, разработанный в АНБ США. Обновления для него давно уже выпущены, но уязвимых машин в мире до сих пор немало.
С другой стороны, как отмечают в Sophos, использование этого эксплойта уже далеко не всегда гарантирует успешность атаки.
Интересно, что скрипт EternalBlue, используемый Kingminer, практически идентичен тому, который использует другой аналогичный ботнет - Powerghost/Wannaminer.
Среди компонентов вредоноса отмечен VBScript, проверяющий, версию Windows: его интересуют системы с уязвимостью BlueKeep (CVE-2019-0708) в протоколе Windows RDP; то есть, работающие под управлением Windows XP, Windows Vista, Windows 7? Windows Server 2003 и Windows Server 2008.
Если уязвимость обнаружена, вредонос начинает проверять список установленных исправлений от Microsoft и в частности ищет те, которые связаны с Bluekeep.
Если Kingminer их не находит, он отключает на сервере Remote Desktop Protocol полностью, фактически предотвращая попытки производить аналогичные атаки.
Эксперты Sophos также обнаружили, что Kingminer компилирует компоненты для генерации криптовалют в DLL, которые подгружаются легитимным исполняемым файлом, снабжённым действующим сертификатом безопасности.
«Попытки вредоносных программ исправлять уязвимости, которыми они сами воспользовались для первичного заражения, - не новость, - говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. - Подобное наблюдается как раз в контексте криминальных криптомайнеров. Некоторые даже пытаются устанавливать патчи на серверы, чтобы отсечь попытки других вредоносов воспользоваться теми же уязвимостями. Это не так сложно сделать даже автоматически при условии полного административного доступа к заражённой машине».