SophosLabs最近发布了针对Kingminer僵尸网络的分析报告。主要发现：Kingminer通过暴力破解SQL服务器来传播，并且最近开始尝试使用永恒之蓝漏洞。感染过程使用特权提升漏洞(CVE-2017-0213或CVE-2019-0803)利用来绕过软件(或管理员)的安全防御操作。活动中经常使用开源或公共领域的软件，如PowerSploit或Mimikatz，并且通过自定义进行了功能增强。攻击者使用DLL侧加载(DLL side-loading)技术来加载有效负载。僵尸网络使用基于日期和时间的域产生算法(DGA)生成用于命令和控制或交付有效载荷的域。如果受感染的计算机没有打上Bluekeep漏洞补丁，Kingminer会禁用包含漏洞的RDP服务，以阻止其他的僵尸网络。Kingminer僵尸网络使用自身注册的服务器和Github公共存储库托管恶意负载，发现了20个用于托管恶意内容的Github帐户。僵尸网络的主要有效载荷和最重要的组成部分是矿工程序，大部分是Xmrig矿工的变体。