百足之虫：GlobeImposter勒索病毒新手法，利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室-安全小百科

百足之虫：GlobeImposter勒索病毒新手法，利用MSSQL爆破进行攻击 – 作者:深信服千里目安全实验室

背景概述

近日，深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件，攻击者通过MSSQL的xp_cmdshell执行系统命令，从C&C服务器下载并执行勒索病毒。执行的相关命令如下：

经安全专家分析，攻击者所使用的程序均通过.NET进行Gzip压缩封装，最终将C++编写的PE解压后注入到CasPol.exe进程（.NET的码访问安全性策略工具）执行，经分析为Remcos远控和GlobeImposter勒索病毒。.NET程序的编译时间为2020年11月30号：

而解压后获取到的真实勒索病毒体编译时间为2019年8月15日，已被威胁情报识别为GlobeImposter勒索病毒家族，程序结构也与此前分析无异：

威胁情报分析

通过威胁情报中心对该远控样本的C&C服务器地址89.39.107.61进行关联情报分析，查看到该远控样本最初是通过URL：195[.]3[.]146[.]180/CyberGuard.exe进行下载到本地；

请求访问IP地址：195.3.146.180，出现Apache2服务器的默认页面；

再结合云端情报监控，捕获到该IP地址在2020年12月5日又更新了上传了恶意样本server.exe，使用的下载url地址有195[.]3[.]146[.]180/server.exe、195[.]3[.]146[.]180/sql_viwer.exe等，推测该IP为攻击者持续更新攻击武器的服务器地址，且攻击者主要通过扫描数据库弱口令或漏洞进行入侵；

从云端安全设备告警信息中确认，该IP最初在2020年11月14日被识别为漏洞攻击使用IP，并在最近一个月内频繁进行攻击尝试；

攻击的目标当前主要瞄准政府、能源等多个行业，随着攻击者的武器库的持续更新，攻击者后续还会继续尝试其他入侵方式进行攻击，并很有可能扩散攻击对象范围；企业用户需要尽快做好安全加固，避免遭受损失。

远控程序分析

.NET程序经过混淆，动态挑时候发现其使用GzipStream类解压资源段的数据，得到一个PE文件，在内存中加载该PE文件并调用Dgjxnaq.Structs.Utils的PublishWorker方法：

复制自身到Start Menu\Programs\Police\hhide.exe：

修改注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders的Startup键值为%AppData%\Roaming\Microsoft\Windows\Start Menu\Programs\Police，实现持久化：

解压第三层PE，是一个模块名为模块名为ClassLibrary3.dll的文件，其主要功能为加压真实的可执行文件并注入到.Net目录下的CasPol.exe中：

该文件是一个由C++编写的远控程序，从反编译后的字符串可以看出是Remcos家族的远控，版本为最新的2.7.2 Pro：

该远控程序具有如下功能：