一、概述
腾讯安全威胁情报中心检测到针对 MSSQL 服务器攻击的挖矿木马,该挖矿木马主要针对 MS SQL 服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载 frpc 内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。
从挖矿木马的 HFS 服务器计数看,已有上万台 MSSQL 服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。
腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec 终端安全管理系统(御点)已可拦截查杀该挖矿木马。
二、样本分析
该黑产团伙对 mssql 服务器进行爆破成功后,会下载执行 HFS 服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马 HFS 文件列表如下:
Adduser.exe,添加后门账户,用于后续远程登陆。
SQL.exe 执行后释放 4 个文件到c:\windows\Fonts 目录中
c:\windows\Fonts\Csrss.exe 是 NSSM 服务封装程序,用于将 sqlwriters.exe 注册为服务,服务名为 SQLServer
Sqlwrites.exe 是基于 xmrig 6.2 的挖矿程序
矿池:
xmr.hex7e4.ru:3333
d2pool.ddns.net:3333
xmr.hex7e4.ru:3333
d2pool.ddns.net:3333
Frp_C.exe 执行后释放以下文件到c:\windows\Fonts 中
Dllhost.exe 是一款开源的内网穿透工具 Frpc,Bat 负责生成 frpc 配置文件,以及设置服务启动项,目的是将本机的 3389 端口暴露给黑客服务器 frp.hex7e4.ru,黑客可直接通过 RDP 连接到受害服务器,进而控制企业内网。
IOCs
Doamin
xxx.hex7e4.ru
xmr.hex7e4.ru
d3d.hex7e4.ru
IP
43. 229.149.62
185. 212.128.180
URLs
hxxp://43.229.149.62:8080/web/Add.exe
hxxp://43.229.149.62:8080/web/AddUser.exe
hxxp://43.229.149.62:8080/web/dw.exe
hxxp://43.229.149.62:8080/web/Frp_C.exe
hxxp://43.229.149.62:8080/web/frpc.exe
hxxp://43.229.149.62:8080/web/frpc.ini
hxxp://43.229.149.62:8080/web/po.jpg
hxxp://43.229.149.62:8080/web/se.jpg
hxxp://43.229.149.62:8080/web/SQL.exe
hxxp://43.229.149.62:8080/web/sqlwriters.jpg
hxxp://43.229.149.62:8080/web/sqlwriters1.jpg
hxxp://43.229.149.62:8080/web/xx.txt
hxxp://43.229.149.62:8080/web/xxx.txt
MD5
9a745dc59585a5ad76fee0867acd1427 |
statr.bat |
301257a23e2cad9da915cd942c833146 |
sqlwriters.exe |
9a22fe62ebad16edc5c489c9493a5882 |
Frp_C.exe |
88527fecde10ca426680d5baf6b384d1 |
po.jpg |
e27ba54c177c891ad3077de230813373 |
xxx.txt |
2176ecfe4d91964ffec346dd1527420d |
xx.txt |
f457a5f0472e309c574795ca339ab566 |
sql.exe |
本文作者:腾讯电脑管家, 转载请注明来自 FreeBuf.COM