(图:病毒作者在黑客论坛传播ku木马生成器) 腾讯安全御见威胁情报中心通过追溯此次不法黑客攻击使用的SQL爆破工具的解压路径“1433腾龙3.0”,发现了一个与攻击事件相关联的黑客技术论坛——腾龙技术论坛,并经过信息对比,确认了其中某位活跃成员与C2地址的某个可疑域名注册者为同一人。从现有的线索来看,该成员在该黑客论坛下载的ku木马生成器生成了此次传播的ku木马执行文件。由此可以推测,“KoiMiner”系列攻击事件应该是该技术论坛资深成员或团队所为,不法黑客利用所学到的远程攻击技术攻击并控制受害用户机器作为肉鸡,植入ku木马牟利。这种使用非法手段入侵企业网络、并利用他人计算机系统ku的行为已触犯国家法律。 (图:腾讯御点终端安全管理系统成功拦截该木马病毒) 对此,腾讯安全专家提醒企业用户,应提高警惕,应及时加固SQL Server服务器,修补服务器安全漏洞;采用安全的密码策略,避免使用弱口令,特别是sa账号密码,防止不法黑客暴力破解。针对KoiMinerku木马的特性,企业用户可在原始配置基础上更改默认1433端口设置,并设置访问规则、拒绝1433端口探测。推荐用户使用腾讯御知网络空间风险雷达进行风险扫描和安全监控,并部署腾讯御点终端安全管理系统防范恶意攻击。企业网站管理员可使用腾讯云网站管家智能防护平台,目前该系统已具备Web入侵防护,0Day漏洞补丁修复等多纬度防御策略,可全面保护网站系统安全。