跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

数万台 MSSQL 服务器遭爆破入侵,已沦为门罗币矿机


HACK1949

推荐的帖子

感谢腾讯御见威胁情报中心来稿!

原文链接:https://mp.weixin.qq.com/s/znFP8IjcC3KIuPfsm_93oA

 

 

一、概述

腾讯安全威胁情报中心检测到针对MS SQL服务器攻击的挖矿木马,该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。

从挖矿木马的HFS服务器计数看,已有上万台MS SQL服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。

腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统(御点)已可拦截查杀该挖矿木马。

7c4413c25f9151ed83e36ece52147370.png

腾讯安全旗下安全产品已针对该挖矿木马的入侵行为进行检测和拦截,具体响应清单如下:

应用场景 安全产品 解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)该木马相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

腾讯T-Sec  主机安全

(Cloud Workload Protection,CWP)

1) 腾讯云镜支持Mssql弱密码检测;

2)腾讯云镜支持查杀该挖矿木马。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 漏洞扫描服务

(Cloud Workload Protection,CWP)

1)腾讯漏洞扫描服务已支持监测全网资产是否受MSSQL弱密码影响。

关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://cloud.tencent.com/product/vss

腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯漏洞扫描服务等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护 腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)对利用mssql爆破入侵的相关协议特征进行识别检测;

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点) 1)查杀该团伙入侵释放的挖矿程序,内网端口映射工具;

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

二、样本分析

该黑产团伙对mssql服务器进行爆破成功后,会下载执行HFS服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马HFS文件列表如下:

5042724e0e0740d2f06eb0eb4fe094ff.png

Adduser.exe,添加后门账户,用于后续远程登陆。

8e9288b4f083de7487750e06913acdd4.png

SQL.exe执行后释放4个文件到c:\windows\Fonts目录中

3468c3a3eb85debf77d68adb6a312de3.png

c:\windows\Fonts\Csrss.exe是NSSM服务封装程序,用于将sqlwriters.exe注册为服务,服务名为SQLServer

6c3bc72960a42a9978401588eef74740.png

Sqlwrites.exe是基于xmrig 6.2的挖矿程序

0a85db1013c8bdc52866ec56eef9bdd8.png

ba0ee21d007c7729545c622a688f793e.png

矿池:

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

Frp_C.exe执行后释放以下文件到c:\windows\Fonts中

7d8202331f5aa734840cc72216dab80b.png

Dllhost.exe是一款开源的内网穿透工具Frpc,Bat负责生成frpc配置文件,以及设置服务启动项,目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru,黑客可直接通过RDP连接到受害服务器,进而控制企业内网。

a00014a0292ac0d18be87a1f7899b701.png

IOCs

Doamin

xxx.hex7e4.ru

xmr.hex7e4.ru

d3d.hex7e4.ru

IP

43.229.149.62

185.212.128.180

URLs

hxxp://43.229.149.62:8080/web/Add.exe

hxxp://43.229.149.62:8080/web/AddUser.exe

hxxp://43.229.149.62:8080/web/dw.exe

hxxp://43.229.149.62:8080/web/Frp_C.exe

hxxp://43.229.149.62:8080/web/frpc.exe

hxxp://43.229.149.62:8080/web/frpc.ini

hxxp://43.229.149.62:8080/web/po.jpg

hxxp://43.229.149.62:8080/web/se.jpg

hxxp://43.229.149.62:8080/web/SQL.exe

hxxp://43.229.149.62:8080/web/sqlwriters.jpg

hxxp://43.229.149.62:8080/web/sqlwriters1.jpg

hxxp://43.229.149.62:8080/web/xx.txt

hxxp://43.229.149.62:8080/web/xxx.txt

MD5

9a745dc59585a5ad76fee0867acd1427 statr.bat
301257a23e2cad9da915cd942c833146 sqlwriters.exe
9a22fe62ebad16edc5c489c9493a5882 Frp_C.exe
88527fecde10ca426680d5baf6b384d1 po.jpg
e27ba54c177c891ad3077de230813373 xxx.txt
2176ecfe4d91964ffec346dd1527420d xx.txt
f457a5f0472e309c574795ca339ab566 sql.exe
链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...