黑客

数万台 MSSQL 服务器遭爆破入侵,已沦为门罗币矿机

  • 浏览次数 9286
  • 喜欢 0
  • 评分 12345

感谢腾讯御见威胁情报中心来稿!

原文链接:https://mp.weixin.qq.com/s/znFP8IjcC3KIuPfsm_93oA

 

 

一、概述

腾讯安全威胁情报中心检测到针对MS SQL服务器攻击的挖矿木马,该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。

从挖矿木马的HFS服务器计数看,已有上万台MS SQL服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。

腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统(御点)已可拦截查杀该挖矿木马。

腾讯安全旗下安全产品已针对该挖矿木马的入侵行为进行检测和拦截,具体响应清单如下:

应用场景 安全产品 解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)该木马相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

腾讯T-Sec  主机安全

(Cloud Workload Protection,CWP)

1) 腾讯云镜支持Mssql弱密码检测;

2)腾讯云镜支持查杀该挖矿木马。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 漏洞扫描服务

(Cloud Workload Protection,CWP)

1)腾讯漏洞扫描服务已支持监测全网资产是否受MSSQL弱密码影响。

关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://cloud.tencent.com/product/vss

腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯漏洞扫描服务等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护 腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)对利用mssql爆破入侵的相关协议特征进行识别检测;

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点) 1)查杀该团伙入侵释放的挖矿程序,内网端口映射工具;

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

二、样本分析

该黑产团伙对mssql服务器进行爆破成功后,会下载执行HFS服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马HFS文件列表如下:

Adduser.exe,添加后门账户,用于后续远程登陆。

SQL.exe执行后释放4个文件到c:\windows\Fonts目录中

c:\windows\Fonts\Csrss.exe是NSSM服务封装程序,用于将sqlwriters.exe注册为服务,服务名为SQLServer

Sqlwrites.exe是基于xmrig 6.2的挖矿程序

矿池:

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

Frp_C.exe执行后释放以下文件到c:\windows\Fonts中

Dllhost.exe是一款开源的内网穿透工具Frpc,Bat负责生成frpc配置文件,以及设置服务启动项,目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru,黑客可直接通过RDP连接到受害服务器,进而控制企业内网。

IOCs

Doamin

xxx.hex7e4.ru

xmr.hex7e4.ru

d3d.hex7e4.ru

IP

43.229.149.62

185.212.128.180

URLs

hxxp://43.229.149.62:8080/web/Add.exe

hxxp://43.229.149.62:8080/web/AddUser.exe

hxxp://43.229.149.62:8080/web/dw.exe

hxxp://43.229.149.62:8080/web/Frp_C.exe

hxxp://43.229.149.62:8080/web/frpc.exe

hxxp://43.229.149.62:8080/web/frpc.ini

hxxp://43.229.149.62:8080/web/po.jpg

hxxp://43.229.149.62:8080/web/se.jpg

hxxp://43.229.149.62:8080/web/SQL.exe

hxxp://43.229.149.62:8080/web/sqlwriters.jpg

hxxp://43.229.149.62:8080/web/sqlwriters1.jpg

hxxp://43.229.149.62:8080/web/xx.txt

hxxp://43.229.149.62:8080/web/xxx.txt

MD5

9a745dc59585a5ad76fee0867acd1427 statr.bat
301257a23e2cad9da915cd942c833146 sqlwriters.exe
9a22fe62ebad16edc5c489c9493a5882 Frp_C.exe
88527fecde10ca426680d5baf6b384d1 po.jpg
e27ba54c177c891ad3077de230813373 xxx.txt
2176ecfe4d91964ffec346dd1527420d xx.txt
f457a5f0472e309c574795ca339ab566 sql.exe