# KingMiner > Tipo: **cryptominer** · S0451 · [MITRE ATT&CK](https://attack.mitre.org/software/S0451) ## Descrição [[s0451-kingminer|KingMiner]] é um malware de cryptomining especializado na mineração de Monero (XMR) que tem como alvo principal servidores Windows, especialmente servidores Microsoft SQL Server e IIS, através de ataques de força bruta de credenciais. Descoberto pela Check Point Research em 2018, o [[s0451-kingminer|KingMiner]] se propagou rapidamente por explorar servidores Windows com senhas fracas nos serviços MSSQL e RDP, comprometendo milhares de servidores ao redor do mundo. O malware é notável por suas técnicas avançadas de evasão de análise, incluindo modificação de XML de configuração para dificultar detecção de sandbox. O [[s0451-kingminer|KingMiner]] utiliza ataques de force brute/password guessing ([[t1110-001-password-guessing|T1110.001]]) para obter acesso inicial, após o qual executa scripts PowerShell ([[t1059-001-powershell|T1059.001]]) e cmd.exe ([[t1059-003-windows-command-shell|T1059.003]]) para instalar o minerador Monero. O payload é baixado de servidores C2 ([[t1105-ingress-tool-transfer|T1105]]) e instalado como serviço Windows ([[t1543-003-windows-service|T1543.003]]) para persistência. A ofuscação ([[t1027-obfuscated-files-or-information|T1027]]) e decodificação em runtime ([[t1140-deobfuscatedecode-files-or-information|T1140]]) dificultam análise estática. O recurso de CPU sequestrado para mineração ([[t1496-resource-hijacking|T1496]]) frequentemente resulta em degradação perceptível de desempenho. O [[s0451-kingminer|KingMiner]] evoluiu ao longo do tempo com múltiplas versões que aumentaram progressivamente as capacidades de evasão - incluindo encriptação do arquivo XML de configuração do minerador para evitar detecção baseada em string, e verificação da taxa de hash esperada para detectar ambientes de sandbox. A monetização via Monero (privacidade aprimorada em relação ao Bitcoin) é estratégia comum em malware de cryptomining por dificultar rastreamento de transações. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1110-001-password-guessing|T1110.001 - Password Guessing]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] ## Detecção Detecção do [[s0451-kingminer|KingMiner]] é frequentemente possível via monitoramento de desempenho: uso anormalmente alto de CPU (>80%) por processos de serviço desconhecidos é o indicador mais óbvio. Alertas SIEM para múltiplas tentativas de autenticação falhas em MSSQL, RDP ou SMB em curto período indicam a fase de força bruta. Monitoramento de rede para conexões a pools de Monero conhecidos (identificáveis por strings no tráfego) e criação de novos serviços Windows por processos PowerShell completam os controles de detecção. ## Relevância LATAM/Brasil O [[s0451-kingminer|KingMiner]] e malwares de cryptomining similares têm alta relevância para o Brasil, que possui um grande número de servidores Windows com MSSQL expostos à internet com credenciais fracas. O setor de PMEs brasileiras - que frequentemente hospeda servidores SQL diretamente expostos para acesso remoto - é particularmente vulnerável. Campanhas de cryptomining afetando empresas brasileiras foram documentadas regularmente, com impacto em custos de cloud computing e desempenho de aplicações críticas. A adoção de políticas de senha forte e autenticação multi-fator em serviços de banco de dados é a principal mitigação. ## Referências - [MITRE ATT&CK - S0451](https://attack.mitre.org/software/S0451)