KingMiner门罗币挖矿恶意软件分析
字数 1677 2025-08-18 11:36:53

KingMiner门罗币挖矿恶意软件深度分析报告

一、恶意软件概述

KingMiner是一种针对Windows服务器的门罗币(XMR)挖矿恶意软件,最早出现于2018年6月,并迅速迭代出两个更新版本。该恶意软件专门攻击Microsoft服务器(主要是IIS/SQL),通过暴力破解密码获取访问权限后,利用受害者机器的CPU算力进行加密货币挖矿活动。

二、攻击流程分析

1. 初始感染阶段

  • 攻击Microsoft服务器(IIS/SQL)并尝试密码猜测
  • 下载并执行Windows Scriptlet文件(.sct)

2. 执行过程

  1. 系统检测

    • 检测目标机器的CPU架构(32位或64位)
    • 检查并终止旧版本攻击文件的相关进程
    • 删除旧版本文件

  2. Payload下载

    • 根据CPU架构下载伪装成zip文件的XML文件(32p.zip或64p.zip)
    • 文件包含base64编码的blob数据

3. Payload文件组成

  • config.json: XMRig CPU挖矿机的配置文件
  • md5.txt: 仅包含"zzz."字符串的文本文件
  • powered.exe(旧版为fix.exe): 主可执行文件
  • soundbox.dll/soundbox.dll: 包含powered.exe所需导出函数的DLL
  • x.txt/y.png: 二进制blob文件(非真实图片文件)

4. 第二阶段攻击

  1. 将md5.txt内容添加到相关DLL文件中
  2. 执行powered.exe/fix.exe
  3. 创建XMRig挖矿机文件和多个值为"Test."的注册表项

三、DLL函数分析

DLL文件包含以下关键函数:

  1. ClearDesktopMonitorHook: 仅返回值1
  2. King1:
    • 创建线程
    • 处理二进制blob文件(x.txt/y.png)内容
    • 生成精简版XMRig CPU挖矿机可执行文件
  3. King2/King3/King4: 目前仅返回值1(可能为未来更新预留)
  4. SetDesktopMonitorHook: 调用King1函数

四、挖矿行为特征

  • 虽然配置文件设置为使用75% CPU算力,实际占用100%
  • 使用私有挖矿池,避免活动被监控
  • 钱包地址未在公共挖矿池中使用过

五、恶意软件进化特点

  1. 持续更新迭代(已出现两个变种)
  2. 预留多个占位函数(King2/King3/King4)为未来更新做准备
  3. 不断增强绕过检测的能力

六、绕过技术详解

KingMiner采用多层绕过技术,极大降低了被检测概率:

  1. 文件混淆

    • 32p.zip/64p.zip实际是XML格式文件
    • 通过语法分析才能识别为ZIP文件

  2. 执行流程控制

    • 仅执行powered.exe不产生其他活动
    • 依赖DLL导出函数进行实际恶意操作

  3. 完整性校验

    • 将md5.txt内容添加到DLL文件中

  4. 代码隐藏

    • 将XMRig挖矿机代码隐藏在x.txt/y.png二进制blob中
    • 运行时动态解码生成可执行文件

七、威胁情报

  • 攻击范围: 全球性攻击,主要影响墨西哥、印度、挪威等地区
  • 挖矿池: 使用私有挖矿池,API已被关闭
  • 钱包地址: 未在公共池中使用,难以追踪

八、防御建议

  1. 服务器加固

    • 使用强密码策略,防止暴力破解
    • 及时更新IIS/SQL服务器补丁

  2. 检测防护

    • 监控异常CPU使用情况(特别是持续高负载)
    • 检测异常进程(powered.exe/fix.exe)
    • 检查可疑的.sct文件下载和执行

  3. 网络控制

    • 限制出站连接到已知挖矿池地址
    • 监控异常网络流量模式

  4. 行为分析

    • 检测可疑的DLL加载和函数调用模式
    • 监控异常的注册表修改(包含"Test."值的键)

九、总结与展望

KingMiner代表了加密货币挖矿恶意软件的新趋势,通过多层绕过技术成功规避了许多检测系统。其特点包括:

  1. 针对高价值目标(企业服务器)
  2. 采用渐进式加载和动态代码生成
  3. 使用私有基础设施提高隐蔽性
  4. 预留更新接口保持长期威胁

预计此类绕过技术将在未来持续进化,成为加密货币挖矿攻击的标准配置。防御方需要采用更深入的行为分析和多层防护策略来应对这类威胁。

KingMiner门罗币挖矿恶意软件深度分析报告 一、恶意软件概述 KingMiner是一种针对Windows服务器的门罗币(XMR)挖矿恶意软件,最早出现于2018年6月,并迅速迭代出两个更新版本。该恶意软件专门攻击Microsoft服务器(主要是IIS/SQL),通过暴力破解密码获取访问权限后,利用受害者机器的CPU算力进行加密货币挖矿活动。 二、攻击流程分析 1. 初始感染阶段 攻击Microsoft服务器(IIS/SQL)并尝试密码猜测 下载并执行Windows Scriptlet文件(.sct) 2. 执行过程 系统检测 检测目标机器的CPU架构(32位或64位) 检查并终止旧版本攻击文件的相关进程 删除旧版本文件 Payload下载 根据CPU架构下载伪装成zip文件的XML文件(32p.zip或64p.zip) 文件包含base64编码的blob数据 3. Payload文件组成 config.json : XMRig CPU挖矿机的配置文件 md5.txt : 仅包含"zzz."字符串的文本文件 powered.exe (旧版为fix.exe): 主可执行文件 soundbox.dll/soundbox.dll : 包含powered.exe所需导出函数的DLL x.txt/y.png : 二进制blob文件(非真实图片文件) 4. 第二阶段攻击 将md5.txt内容添加到相关DLL文件中 执行powered.exe/fix.exe 创建XMRig挖矿机文件和多个值为"Test."的注册表项 三、DLL函数分析 DLL文件包含以下关键函数: ClearDesktopMonitorHook : 仅返回值1 King1 : 创建线程 处理二进制blob文件(x.txt/y.png)内容 生成精简版XMRig CPU挖矿机可执行文件 King2/King3/King4 : 目前仅返回值1(可能为未来更新预留) SetDesktopMonitorHook : 调用King1函数 四、挖矿行为特征 虽然配置文件设置为使用75% CPU算力,实际占用100% 使用私有挖矿池,避免活动被监控 钱包地址未在公共挖矿池中使用过 五、恶意软件进化特点 持续更新迭代(已出现两个变种) 预留多个占位函数(King2/King3/King4)为未来更新做准备 不断增强绕过检测的能力 六、绕过技术详解 KingMiner采用多层绕过技术,极大降低了被检测概率: 文件混淆 32p.zip/64p.zip实际是XML格式文件 通过语法分析才能识别为ZIP文件 执行流程控制 仅执行powered.exe不产生其他活动 依赖DLL导出函数进行实际恶意操作 完整性校验 将md5.txt内容添加到DLL文件中 代码隐藏 将XMRig挖矿机代码隐藏在x.txt/y.png二进制blob中 运行时动态解码生成可执行文件 七、威胁情报 攻击范围 : 全球性攻击,主要影响墨西哥、印度、挪威等地区 挖矿池 : 使用私有挖矿池,API已被关闭 钱包地址 : 未在公共池中使用,难以追踪 八、防御建议 服务器加固 使用强密码策略,防止暴力破解 及时更新IIS/SQL服务器补丁 检测防护 监控异常CPU使用情况(特别是持续高负载) 检测异常进程(powered.exe/fix.exe) 检查可疑的.sct文件下载和执行 网络控制 限制出站连接到已知挖矿池地址 监控异常网络流量模式 行为分析 检测可疑的DLL加载和函数调用模式 监控异常的注册表修改(包含"Test."值的键) 九、总结与展望 KingMiner代表了加密货币挖矿恶意软件的新趋势,通过多层绕过技术成功规避了许多检测系统。其特点包括: 针对高价值目标(企业服务器) 采用渐进式加载和动态代码生成 使用私有基础设施提高隐蔽性 预留更新接口保持长期威胁 预计此类绕过技术将在未来持续进化,成为加密货币挖矿攻击的标准配置。防御方需要采用更深入的行为分析和多层防护策略来应对这类威胁。