11-29-2025, 04:00 PM
(This post was last modified: 12-13-2025, 04:10 PM by mrwebfeeder.)
Nombre:
KingMiner (también referido como “Kingminer botnet” en reportes; en algunos análisis se describe como una operación/campaña de cryptojacking más que una sola muestra)
Categoría:
Cryptominer (Monero/XMR) / Botnet
Fecha de descubrimiento:
2018 (reportado como “nuevo” en 2018 y documentado con actividad sostenida en años posteriores)
Comportamiento (lo que hace y archivos que infecta):
- KingMiner compromete principalmente servidores Windows con Microsoft SQL Server (MSSQL) y, en algunas campañas, infraestructura relacionada (p. ej., IIS en el mismo host).
- Vector de entrada típico:
- Fuerza bruta / password spraying contra cuentas de MSSQL (por ejemplo, “sa” o cuentas con contraseñas débiles) en servidores expuestos a Internet o sin segmentación.
- En entornos comprometidos, puede usar credenciales reutilizadas o filtradas para obtener acceso inicial.
- Acciones posteriores:
- Ejecución remota de comandos a través de MSSQL (frecuentemente habilitando/abusando de capacidades administrativas) para lanzar:
- PowerShell (a menudo ofuscado) para descargar y ejecutar payloads.
- Herramientas “living-off-the-land” para descarga/ejecución (según variante): cmd.exe, certutil, bitsadmin, wscript/cscript, etc.
- Descarga e instalación de un minero de Monero (comúnmente basado en XMRig o variantes empaquetadas) y componentes auxiliares (watchdog/loader).
- Consumo elevado de CPU sostenido, degradando rendimiento del servidor y afectando servicios/productividad.
- En campañas observadas, puede intentar eliminar otros mineros rivales y/o ajustar el entorno para mantener el control del host y la rentabilidad del minado.
- Algunas versiones emplean técnicas para dificultar el bloqueo de infraestructura (por ejemplo, rotación dinámica de dominios/servidores de descarga en ciertos reportes).
Persistencia:
- Persistencia típica en Windows Server:
- Tareas programadas para relanzar el minero o su “watchdog” al inicio o periódicamente.
- Servicios Windows creados con nombres que intentan parecer legítimos para ejecución continua.
- Entradas de inicio (Run/RunOnce) en el Registro en variantes menos sofisticadas.
- Objetivo de la persistencia: asegurar que el minero se reinicie si el proceso se detiene, y mantener control frente a limpieza parcial o reinicios.
Hash real de referencia (SHA-256):
Mitigación con GetOverX Shield v3.0.2.0:
Notas opcionales:
- KingMiner se asocia frecuentemente a compromisos de MSSQL por contraseñas débiles/exposición directa y puede “competir” con otros actores eliminando mineros rivales o endureciendo el host comprometido para mantener el acceso.
KingMiner (también referido como “Kingminer botnet” en reportes; en algunos análisis se describe como una operación/campaña de cryptojacking más que una sola muestra)
Categoría:
Cryptominer (Monero/XMR) / Botnet
Fecha de descubrimiento:
2018 (reportado como “nuevo” en 2018 y documentado con actividad sostenida en años posteriores)
Comportamiento (lo que hace y archivos que infecta):
- KingMiner compromete principalmente servidores Windows con Microsoft SQL Server (MSSQL) y, en algunas campañas, infraestructura relacionada (p. ej., IIS en el mismo host).
- Vector de entrada típico:
- Fuerza bruta / password spraying contra cuentas de MSSQL (por ejemplo, “sa” o cuentas con contraseñas débiles) en servidores expuestos a Internet o sin segmentación.
- En entornos comprometidos, puede usar credenciales reutilizadas o filtradas para obtener acceso inicial.
- Acciones posteriores:
- Ejecución remota de comandos a través de MSSQL (frecuentemente habilitando/abusando de capacidades administrativas) para lanzar:
- PowerShell (a menudo ofuscado) para descargar y ejecutar payloads.
- Herramientas “living-off-the-land” para descarga/ejecución (según variante): cmd.exe, certutil, bitsadmin, wscript/cscript, etc.
- Descarga e instalación de un minero de Monero (comúnmente basado en XMRig o variantes empaquetadas) y componentes auxiliares (watchdog/loader).
- Consumo elevado de CPU sostenido, degradando rendimiento del servidor y afectando servicios/productividad.
- En campañas observadas, puede intentar eliminar otros mineros rivales y/o ajustar el entorno para mantener el control del host y la rentabilidad del minado.
- Algunas versiones emplean técnicas para dificultar el bloqueo de infraestructura (por ejemplo, rotación dinámica de dominios/servidores de descarga en ciertos reportes).
Persistencia:
- Persistencia típica en Windows Server:
- Tareas programadas para relanzar el minero o su “watchdog” al inicio o periódicamente.
- Servicios Windows creados con nombres que intentan parecer legítimos para ejecución continua.
- Entradas de inicio (Run/RunOnce) en el Registro en variantes menos sofisticadas.
- Objetivo de la persistencia: asegurar que el minero se reinicie si el proceso se detiene, y mantener control frente a limpieza parcial o reinicios.
Hash real de referencia (SHA-256):
Code:
88f55cbeea513fd37c97e5f152eb5f7c8cbe9e353406d39ef4b0d4120a3f175aMitigación con GetOverX Shield v3.0.2.0:
- Antivirus:
- Ejecutar Full Scan del servidor y cuarentenar/eliminar:
- Binarios del minero, loaders/watchdogs y scripts descargados.
- Recomendación práctica: realizar un segundo escaneo focalizado en rutas frecuentes de dropper y persistencia:
- %TEMP%, %APPDATA%, %LOCALAPPDATA%, C:\ProgramData\, y directorios donde el EDR detecte ejecución reciente.
- Si hay múltiples hosts MSSQL, escanear también servidores “adyacentes” (movimiento lateral operacional suele seguir contraseñas reutilizadas).
- Firewall:
- Bloquear exposición pública innecesaria de MSSQL:
- Restringir el puerto de SQL Server (p. ej., 1433) a redes/hosts autorizados (VPN, subredes internas, jump hosts).
- Aplicar egress control desde el servidor:
- Bloquear conexiones salientes no justificadas (especialmente hacia destinos desconocidos), útil para cortar pools/C2/descargas.
- Si se confirma compromiso, aislar temporalmente el host hasta erradicar persistencia y rotar credenciales.
- HIPS/EDR:
- Activar detecciones de comportamiento enfocadas a MSSQL/servidores:
- CPU anómalo sostenido (picos prolongados) por procesos no esperados.
- Cadena: sqlservr.exe (o proceso relacionado) → cmd.exe/powershell.exe → descarga/ejecución.
- PowerShell ofuscado / EncodedCommand / IEX + descarga remota.
- Creación de Scheduled Tasks o Servicios nuevos sin cambio aprobado.
- Eliminación de procesos “competidores” o intentos de desactivar defensas/telemetría.
- Respuesta recomendada:
- Kill process del minero y de su watchdog.
- Block by hash del binario detectado y de instaladores asociados.
- Registrar evidencia (árbol de procesos + persistencia) para hunting y verificación de erradicación.
- Sandbox:
- Usar Sandbox para analizar de forma aislada:
- Scripts/binaries encontrados en el servidor (PS1/BAT/EXE sospechosos) antes de ejecutarlos para “ver qué hacen”.
- Señales clave:
- Descarga de payloads, creación de tareas/servicios y conexiones salientes repetitivas.
- Medidas posteriores al incidente:
- Corregir causa raíz:
- Cambiar credenciales de MSSQL (incluyendo “sa” si existe), forzar contraseñas robustas, deshabilitar logins innecesarios, y limitar el acceso remoto.
- Revisar si hay configuración peligrosa habilitada que permita ejecución OS desde SQL y restringirla a lo mínimo indispensable.
- Revisar y eliminar persistencia:
- Tareas programadas, servicios, entradas de inicio y binarios residuales.
- Auditoría:
- Revisar logs de SQL Server (intentos de login fallidos/exitosos), eventos de Windows y telemetría EDR para identificar ventana de compromiso y otros hosts afectados.
- Si hubo exposición prolongada o reinfección recurrente, considerar reconstrucción del servidor desde una imagen confiable y backups verificados.
Notas opcionales:
- KingMiner se asocia frecuentemente a compromisos de MSSQL por contraseñas débiles/exposición directa y puede “competir” con otros actores eliminando mineros rivales o endureciendo el host comprometido para mantener el acceso.