加密抢劫——窃取CPU能力以秘密挖掘加密货币——正在成为个人和企业遇到的大麻烦。目前，全美三分之一的组织表示他们已成为加密劫持恶意软件的目标。最近，美国一所大学甚至被迫关闭了其整个网络，以阻止一次加密劫持攻击。

加密劫持通常涉及对门罗币（XMR）和以太坊（ETH）的挖掘。如果CPU能力在一定范围内被盗用，并且资金被实际转移到攻击者钱包中，那么这种加密劫持就很难被检测到。攻击者越来越喜爱使用这种技术，而非以往的勒索赎金攻击，原因在于这种加密劫持能够让攻击者实实在在地获得金钱，而不用像勒索劫持那样需要受害者愿意付款。

本周四，网络安全公司Check Point的研究人员在一篇博客文章中表示，今年6月首次出现了一款这种形式的加密恶意软件，称为KingMiner，并且其改良变体被发现出现在野外。

攻击流程

这款恶意软件通常使用暴力方式来攻击 IIS/SQL微软服务器，以获取攻击服务器所需的凭据。一旦授予访问权限后，将在受害者的计算机上下载并执行Windows Scriptlet脚本文件（.sct ）。

在执行过程中，该文件进行几个步骤：

1.此脚本扫描并检测受害者计算机的CPU体系结构，并为其下载配套的恶意有效负载。

2.如果在受害者计算机上发现较早版本的恶意负载，则新负载会自动终止相关的exe文件进程，并将就文件删除以取而代之。

3.根据检测到的CPU架构体系，下载有效负载ZIP文件（zip/64p.zip）。请注意，这实际上并不是一个ZIP文件，而是XML文件，研究人员称它将进行“绕过模拟尝试”。

4.XML有效负载包括Base64 blob，一旦编码，将生成预期的“ZIP”文件。

HTTP响应中出现的“zip”有效负载

“ZIP”文件包里的文件

解压后，恶意软件有效负载会创建一组新的注册表项并执行XMRig miner文件，该文件专为挖掘门罗币而设计。

矿工被配置为使用75％的CPU容量，但可能由于编码错误，实际上使用100％的CPU。

恶意的powered.exe文件占用了100％的CPU能力

为了其难以追踪，KingMiner的挖掘池已被设为私有，API已被关闭。此外，钱包从未在公共采矿池使用过，因此研究人员无法知道正在使用的域名——或者攻击者通过攻击挖掘了多少门罗币。

KingMiner的演变

Check Point研究人员自KingMiner出现后一直在监控其活动。过去6个月来，KingMiner已经开发并部署在两个新版本中。攻击者为这款恶意软件不断添加新功能和绕过方法以避免被检测到。此外，作为恶意软件不断发展的一部分，我们发现许多占位符用于未来的操作或即将发布的更新，这将使这种恶意软件更难以检测。

Check Point发现其影响范围极其广泛，从墨西哥到印度，从挪威到以色列都有其身影。

攻击者采用各种规避技术来防止该恶意软件被复制以及规避检测，因此，一些检测引擎的检测率已经显著降低。根据研究人员对传感器日志的分析，KingMiner攻击尝试的次数正稳步上升。

逃避技术

逃避技术的使用是成功攻击的主要组成部分。这个案例中，几种相对简单的机制使此恶意软件能够绕过常见的检测方法：

1.混淆32p.zip/64p.zip文件——ZIP文件包含基本的XML格式数据。解析后，将显示预期的ZIP文件；

2.主要的可执行文件powered.exe（在旧版本为fix.exe）从DLL文件（sandbox.dll / active_desktop_render_x64.dll）导出函数。仅执行其中可执行文件，确保任何活动不被发现；

3.将md5.txt内容添加到DLL文件（sandbox.dll / active_desktop_render_x64.dll）中；

4.将x.txt/y.png内容解码为可执行文件XMRig CPU miner。

这些逃避技术似乎显著降低了检测率，如VirusTotal中所示：

Check Point表示，在KingMiner的代码中还有大量占位符以便将来对其进行更新，因此该恶意软件未来可能成为更严重的威胁。