数万台MSSQL服务器遭爆破入侵,已沦为门罗币矿机

  一、概述

  腾讯安全威胁情报中心检测到针对 MSSQL 服务器攻击的挖矿木马,该挖矿木马主要针对 MS SQL 服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载 frpc 内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。 

  从挖矿木马的 HFS 服务器计数看,已有上万台 MSSQL 服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。 

  腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec 终端安全管理系统(御点)已可拦截查杀该挖矿木马。 

  二、样本分析

  该黑产团伙对 mssql 服务器进行爆破成功后,会下载执行 HFS 服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马 HFS 文件列表如下:

  Adduser.exe,添加后门账户,用于后续远程登陆。

  SQL.exe 执行后释放 4 个文件到c:\windows\Fonts 目录中

  c:\windows\Fonts\Csrss.exe 是 NSSM 服务封装程序,用于将 sqlwriters.exe 注册为服务,服务名为 SQLServer

  Sqlwrites.exe 是基于 xmrig 6.2 的挖矿程序

  矿池:

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

  Frp_C.exe 执行后释放以下文件到c:\windows\Fonts 中

  Dllhost.exe 是一款开源的内网穿透工具 Frpc,Bat 负责生成 frpc 配置文件,以及设置服务启动项,目的是将本机的 3389 端口暴露给黑客服务器 frp.hex7e4.ru,黑客可直接通过 RDP 连接到受害服务器,进而控制企业内网。

  IOCs

  Doamin

xxx.hex7e4.ru

xmr.hex7e4.ru

d3d.hex7e4.ru

   IP

43. 229.149.62

185. 212.128.180

   URLs

hxxp://43.229.149.62:8080/web/Add.exe

hxxp://43.229.149.62:8080/web/AddUser.exe

hxxp://43.229.149.62:8080/web/dw.exe

hxxp://43.229.149.62:8080/web/Frp_C.exe

hxxp://43.229.149.62:8080/web/frpc.exe

hxxp://43.229.149.62:8080/web/frpc.ini

hxxp://43.229.149.62:8080/web/po.jpg

hxxp://43.229.149.62:8080/web/se.jpg

hxxp://43.229.149.62:8080/web/SQL.exe

hxxp://43.229.149.62:8080/web/sqlwriters.jpg

hxxp://43.229.149.62:8080/web/sqlwriters1.jpg

hxxp://43.229.149.62:8080/web/xx.txt

hxxp://43.229.149.62:8080/web/xxx.txt

  MD5 

  9a745dc59585a5ad76fee0867acd1427

  statr.bat

  301257a23e2cad9da915cd942c833146

  sqlwriters.exe

  9a22fe62ebad16edc5c489c9493a5882

  Frp_C.exe

  88527fecde10ca426680d5baf6b384d1

  po.jpg

  e27ba54c177c891ad3077de230813373

  xxx.txt

  2176ecfe4d91964ffec346dd1527420d

  xx.txt

  f457a5f0472e309c574795ca339ab566

  sql.exe

  本文作者:腾讯电脑管家, 转载请注明来自 FreeBuf.COM

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注