感谢腾讯御见威胁情报中心来稿!
原文链接:https://mp.weixin.qq.com/s/znFP8IjcC3KIuPfsm_93oA
一、概述
腾讯安全威胁情报中心检测到针对MS SQL服务器攻击的挖矿木马,该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。
从挖矿木马的HFS服务器计数看,已有上万台MS SQL服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。
腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统(御点)已可拦截查杀该挖矿木马。
腾讯安全旗下安全产品已针对该挖矿木马的入侵行为进行检测和拦截,具体响应清单如下:
| 应用场景 | 安全产品 | 解决方案 |
| 威
胁 情 报 |
腾讯T-Sec
威胁情报云查服务 (SaaS) |
1)该木马相关IOCs已入库。
各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics |
| 腾讯T-Sec
高级威胁追溯系统 |
1)团伙相关信息和情报已支持检索。
网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts |
|
| 腾讯T-Sec 主机安全
(Cloud Workload Protection,CWP) |
1) 腾讯云镜支持Mssql弱密码检测;
2)腾讯云镜支持查杀该挖矿木马。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp |
|
| 腾讯T-Sec 漏洞扫描服务
(Cloud Workload Protection,CWP) |
1)腾讯漏洞扫描服务已支持监测全网资产是否受MSSQL弱密码影响。
关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://cloud.tencent.com/product/vss |
|
| 腾讯T-Sec 安全运营中心 | 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯漏洞扫描服务等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。
关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
|
| 非云企业安全防护 | 腾讯T-Sec
高级威胁检测系统 (腾讯御界) |
基于网络流量进行威胁检测,已支持:
1)对利用mssql爆破入侵的相关协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
| 腾讯T-Sec终端安全管理系统(御点) | 1)查杀该团伙入侵释放的挖矿程序,内网端口映射工具;
腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html |
二、样本分析
该黑产团伙对mssql服务器进行爆破成功后,会下载执行HFS服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马HFS文件列表如下:
Adduser.exe,添加后门账户,用于后续远程登陆。
SQL.exe执行后释放4个文件到c:/windows/Fonts目录中
c:/windows/Fonts/Csrss.exe是NSSM服务封装程序,用于将sqlwriters.exe注册为服务,服务名为SQLServer
Sqlwrites.exe是基于xmrig 6.2的挖矿程序
矿池:
xmr.hex7e4.ru:3333
d2pool.ddns.net:3333
xmr.hex7e4.ru:3333
d2pool.ddns.net:3333
Frp_C.exe执行后释放以下文件到c:/windows/Fonts中
Dllhost.exe是一款开源的内网穿透工具Frpc,Bat负责生成frpc配置文件,以及设置服务启动项,目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru,黑客可直接通过RDP连接到受害服务器,进而控制企业内网。
IOCs
Doamin
xxx.hex7e4.ru
xmr.hex7e4.ru
d3d.hex7e4.ru
IP
43.229.149.62
185.212.128.180
URLs
hxxp://43.229.149.62:8080/web/Add.exe
hxxp://43.229.149.62:8080/web/AddUser.exe
hxxp://43.229.149.62:8080/web/dw.exe
hxxp://43.229.149.62:8080/web/Frp_C.exe
hxxp://43.229.149.62:8080/web/frpc.exe
hxxp://43.229.149.62:8080/web/frpc.ini
hxxp://43.229.149.62:8080/web/po.jpg
hxxp://43.229.149.62:8080/web/se.jpg
hxxp://43.229.149.62:8080/web/SQL.exe
hxxp://43.229.149.62:8080/web/sqlwriters.jpg
hxxp://43.229.149.62:8080/web/sqlwriters1.jpg
hxxp://43.229.149.62:8080/web/xx.txt
hxxp://43.229.149.62:8080/web/xxx.txt
MD5
| 9a745dc59585a5ad76fee0867acd1427 | statr.bat |
| 301257a23e2cad9da915cd942c833146 | sqlwriters.exe |
| 9a22fe62ebad16edc5c489c9493a5882 | Frp_C.exe |
| 88527fecde10ca426680d5baf6b384d1 | po.jpg |
| e27ba54c177c891ad3077de230813373 | xxx.txt |
| 2176ecfe4d91964ffec346dd1527420d | xx.txt |
| f457a5f0472e309c574795ca339ab566 | sql.exe |
请登录后发表评论
注册