GETOVERX FORUM Community Support
KingMiner – Cryptominer – 2018 - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Cryptojackers (https://forum.getoverx.com/forumdisplay.php?fid=27)
+--- Thread: KingMiner – Cryptominer – 2018 (/showthread.php?tid=53)

KingMiner – Cryptominer – 2018 - mrwebfeeder - 11-29-2025

Nombre:
KingMiner (también referido como “Kingminer botnet” en reportes; en algunos análisis se describe como una operación/campaña de cryptojacking más que una sola muestra)

Categoría:
Cryptominer (Monero/XMR) / Botnet

Fecha de descubrimiento:
2018 (reportado como “nuevo” en 2018 y documentado con actividad sostenida en años posteriores)

Comportamiento (lo que hace y archivos que infecta):
- KingMiner compromete principalmente servidores Windows con Microsoft SQL Server (MSSQL) y, en algunas campañas, infraestructura relacionada (p. ej., IIS en el mismo host).
- Vector de entrada típico:
  - Fuerza bruta / password spraying contra cuentas de MSSQL (por ejemplo, “sa” o cuentas con contraseñas débiles) en servidores expuestos a Internet o sin segmentación.
  - En entornos comprometidos, puede usar credenciales reutilizadas o filtradas para obtener acceso inicial.
- Acciones posteriores:
  - Ejecución remota de comandos a través de MSSQL (frecuentemente habilitando/abusando de capacidades administrativas) para lanzar:
    - PowerShell (a menudo ofuscado) para descargar y ejecutar payloads.
    - Herramientas “living-off-the-land” para descarga/ejecución (según variante): cmd.exe, certutil, bitsadmin, wscript/cscript, etc.
  - Descarga e instalación de un minero de Monero (comúnmente basado en XMRig o variantes empaquetadas) y componentes auxiliares (watchdog/loader).
  - Consumo elevado de CPU sostenido, degradando rendimiento del servidor y afectando servicios/productividad.
  - En campañas observadas, puede intentar eliminar otros mineros rivales y/o ajustar el entorno para mantener el control del host y la rentabilidad del minado.
  - Algunas versiones emplean técnicas para dificultar el bloqueo de infraestructura (por ejemplo, rotación dinámica de dominios/servidores de descarga en ciertos reportes).

Persistencia:
- Persistencia típica en Windows Server:
  - Tareas programadas para relanzar el minero o su “watchdog” al inicio o periódicamente.
  - Servicios Windows creados con nombres que intentan parecer legítimos para ejecución continua.
  - Entradas de inicio (Run/RunOnce) en el Registro en variantes menos sofisticadas.
- Objetivo de la persistencia: asegurar que el minero se reinicie si el proceso se detiene, y mantener control frente a limpieza parcial o reinicios.

Hash real de referencia (SHA-256):
Code:
88f55cbeea513fd37c97e5f152eb5f7c8cbe9e353406d39ef4b0d4120a3f175a

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan del servidor y cuarentenar/eliminar:
      - Binarios del minero, loaders/watchdogs y scripts descargados.
    - Recomendación práctica: realizar un segundo escaneo focalizado en rutas frecuentes de dropper y persistencia:
      - %TEMP%, %APPDATA%, %LOCALAPPDATA%, C:\ProgramData\, y directorios donde el EDR detecte ejecución reciente.
    - Si hay múltiples hosts MSSQL, escanear también servidores “adyacentes” (movimiento lateral operacional suele seguir contraseñas reutilizadas).

  • Firewall:
    - Bloquear exposición pública innecesaria de MSSQL:
      - Restringir el puerto de SQL Server (p. ej., 1433) a redes/hosts autorizados (VPN, subredes internas, jump hosts).
    - Aplicar egress control desde el servidor:
      - Bloquear conexiones salientes no justificadas (especialmente hacia destinos desconocidos), útil para cortar pools/C2/descargas.
    - Si se confirma compromiso, aislar temporalmente el host hasta erradicar persistencia y rotar credenciales.

  • HIPS/EDR:
    - Activar detecciones de comportamiento enfocadas a MSSQL/servidores:
      - CPU anómalo sostenido (picos prolongados) por procesos no esperados.
      - Cadena: sqlservr.exe (o proceso relacionado) → cmd.exe/powershell.exe → descarga/ejecución.
      - PowerShell ofuscado / EncodedCommand / IEX + descarga remota.
      - Creación de Scheduled Tasks o Servicios nuevos sin cambio aprobado.
      - Eliminación de procesos “competidores” o intentos de desactivar defensas/telemetría.
    - Respuesta recomendada:
      - Kill process del minero y de su watchdog.
      - Block by hash del binario detectado y de instaladores asociados.
      - Registrar evidencia (árbol de procesos + persistencia) para hunting y verificación de erradicación.

  • Sandbox:
    - Usar Sandbox para analizar de forma aislada:
      - Scripts/binaries encontrados en el servidor (PS1/BAT/EXE sospechosos) antes de ejecutarlos para “ver qué hacen”.
    - Señales clave:
      - Descarga de payloads, creación de tareas/servicios y conexiones salientes repetitivas.

  • Medidas posteriores al incidente:
    - Corregir causa raíz:
      - Cambiar credenciales de MSSQL (incluyendo “sa” si existe), forzar contraseñas robustas, deshabilitar logins innecesarios, y limitar el acceso remoto.
      - Revisar si hay configuración peligrosa habilitada que permita ejecución OS desde SQL y restringirla a lo mínimo indispensable.
    - Revisar y eliminar persistencia:
      - Tareas programadas, servicios, entradas de inicio y binarios residuales.
    - Auditoría:
      - Revisar logs de SQL Server (intentos de login fallidos/exitosos), eventos de Windows y telemetría EDR para identificar ventana de compromiso y otros hosts afectados.
    - Si hubo exposición prolongada o reinfección recurrente, considerar reconstrucción del servidor desde una imagen confiable y backups verificados.

Notas opcionales:
- KingMiner se asocia frecuentemente a compromisos de MSSQL por contraseñas débiles/exposición directa y puede “competir” con otros actores eliminando mineros rivales o endureciendo el host comprometido para mantener el acceso.