• 产品中心

    产品中心

    • 基础安全

      T-Sec 主机安全

      容器安全服务 TCSS

      T-Sec Web应用防火墙

      T-Sec 云防火墙

      T-Sec 安全运营中心

      T-Sec iOA零信任安全管理系统

    • 业务安全

      T-Sec 天御 验证码

      T-Sec 天御 文本内容安全

      T-Sec 天御 视频内容安全

      T-Sec 全栈式风控引擎

      T-Sec 手游安全

      T-Sec 小程序安全

      T-Sec 应用合规平台

    • 数据安全

      T-Sec 堡垒机

      T-Sec 数据安全审计

      T-Sec 云访问安全代理

      T-Sec 凭据管理系统

      T-Sec 密钥管理系统

      T-Sec 云加密机

      T-Sec 数据安全治理中心

    • 安全服务

      T-Sec 安全专家服务

      一站式等保服务

      T-Sec 安全托管服务

      渗透测试服务

      应急响应服务

      重要时期安全保障服务

      安全攻防对抗服务

    了解全部安全产品

  • 解决方案

    解决方案

    • 通用解决方案

      等保合规安全解决方案

      直播安全解决方案

      数据安全解决方案

      品牌保护解决方案

      高防云主机安全解决方案

      腾讯安心平台解决方案

    • 行业场景方案

      游戏安全场景方案

      电商安全场景方案

      智慧零售场景方案

      智慧出行场景方案

    • 安全专项解决方案

      勒索病毒专项解决方案

      重大保障安全解决方案

  • 更多

    更多

    • 关于我们

      腾讯安全介绍

      荣誉认证

    • 帮助中心

      帮助文档

    • 考试认证

      在线课堂

      证书查询

    • 联系我们

      产品方案咨询

      寻求市场合作

    • 友情链接

      腾讯云

威胁研究正文

“贪吃蛇”挖矿木马升级提权工具,中招企业可能出现信息泄露

2020-06-18 13:11:26

“贪吃蛇”挖矿木马曾在2019年4月被腾讯安全团队发现,因其在感染服务器后即会清除其他挖矿木马独占服务器资源而得名。“贪吃蛇”挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会进行提权攻击获得系统最高权限,然后植入门罗币挖矿木马以及大灰狼远控木马,爆破攻击成功也会造成企业数据库信息泄露。

一、概述

“贪吃蛇”挖矿木马曾在20194月被腾讯安全团队发现,因其在感染服务器后即会清除其他挖矿木马独占服务器资源而得名。“贪吃蛇”挖矿木马团伙主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会进行提权攻击获得系统最高权限,然后植入门罗币挖矿木马以及大灰狼远控木马。爆破攻击成功也会造成企业数据库信息泄露。

“贪吃蛇”挖矿木马新变种的攻击流程

该团伙在2019年也对木马进行过一次更新,但第二个版本中被其他团队植入了后门(黑吃黑也是传统套路)。腾讯安全团队本次捕获的“贪吃蛇”挖矿木马新版在攻击流程上与前面略有区别。首先病毒对提权工具进行更新,抛弃了2015及以前的提权漏洞,引入2019年新的提权漏洞,病毒爆破成功之后提权获得系统权限的概率得以大幅提升。“贪吃蛇”新版本清理的竞品挖矿木马也比旧版更多, 病毒还会添加Windows防火墙规则阻止其他挖矿木马入侵。攻击流程上也有所简化,不再借用第三方大厂的白文件,而是直接劫持系统进程或服务进行攻击。

腾讯安全T-Sec终端安全管理系统及腾讯电脑管家均可查杀该病毒,腾讯安全专家建议企业网管尽快纠正MS SQL服务器存在的弱口令风险,避免黑客远程爆破成功。腾讯安全产品针对贪吃蛇新变种的响应清单如下:

应用场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1)贪吃蛇木马相关IOCs已入库。

各类安全产品可通过威胁情报云查服务提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)贪吃蛇网络黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

腾讯主机安全(云镜)已支持:

1) MS SQL弱密码检测

2) CVE-2016-3225漏洞检测

3) CVE-2017-0213漏洞检测

4) MS19 PrintSpoofer提权漏洞检测

5)查杀 “贪吃蛇”系列相关样本 

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 网络资产风险监测系统

(腾讯御知)

1)腾讯御知已支持监测全网资产是否受MS SQL弱密码 

关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)对利用MS SQL爆破入侵的相关协议特征进行识别检测;

关于T-Sec高级威胁检测系统的更多信息,可参考:https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点)

1)可查杀贪吃蛇团伙入侵释放的大灰狼后门木马程序、挖矿木马,漏洞利用程序;

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

二、详细分析

攻击团伙对MS SQL服务器爆破成功后,会直接下载提权模块攻击以获取系统最高权限。与第一版贪吃蛇不同的是,第一版提权完成后会从网络上下载后续功能模块,而新版中在提权模块中直接包含后续的功能模块,大部分内嵌在PE文件中。


新版内嵌PE会存放在数据段


而旧版本是内嵌在资源段中

流程开始后首先释放提权模块,罗列了一下新版贪吃蛇与旧版使用的提权工具区别,提权漏洞升级了。

旧版本:


新版本


提权工作完成后,释放SQLA.exe文件,该文件内置6PE文件,其中2个文件是密文形式存放,逐个分析其功能。

Rundllexe.Dll:这个dll有内嵌x64版本,会被注册为打印机程序


Dll启动rundllexe.Exe


Rundllexe.exe启动后把大灰狼远控注入到svchost


大灰狼模块被释放到C:\Windows\MpMgSvc.dll


C2: down.361com.com

备份rundll代码到注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC\Rundll


接着下载x64.exehxxp://124.160.126.238/1.exe,这个模块主要用来投递挖矿木马,入口处通过修改Windows防火墙规则,阻止其他挖矿木马入侵。


解密出active_desktop_render.dll释放到c:\windows\help\


active_desktop_render.dll会把自身注册为服务,服务名GraphicsPerf_Svcs


active_desktop_render.dll内置一个PE文件,解密后得到DeskTop EXE.主要负责投递挖矿木马,首先下载hxxp://118.45.42.72/Update.txt,文件中描述了挖矿木马名称及大小


还需要根据配置描述,清除其他竞品挖矿木马


“加固清理”之后下载挖矿木马hxxp://www.362com.com/32.exe,并设置挖矿启动项,挖矿木马使用的文件名和系统文件名一样,以便伪装。

TrustedInsteller.exe

WmiApSvr.exe

WUDFhosts.exe

HelpSvc.exe

劫持这4个系统文件,提高存活几率:


矿池及钱包仍然异或加密存储在文件中


矿池:pool.usa-138.com:80

钱包: 4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S

清除其他挖矿木马也更加全面


IOCs

MD5

3841eed7224b111b76b39fe032061ee7

a865ec970a4021f270359761d660547c

70e694d073c0440d9da37849b1a06321

4a72e30c0a582b082030adfd8345014f

645564cf1c80e047a6e90ac0f2d6a6b7

ce614abf6d6c1bbeefb887dea08c18a3

f03f640de2cb7929bbbafa3883d1b2a9

5d2e9716be941d7c77c05947390de736

3a1e14d9bbf7ac0967c18a24c4fd414b

dc60a503fb8b36ab4c65cdfa5bd665a1

9450249ae964853a51d6b55cd55c373e

f4f11dc6aa75d0f314eb698067882dd5

18936d7a1d489cb1db6ee9b48c6f1bd2

b660ad2c9793cd1259560bbbfbd89ce6

2ee0787a52aaca0207a73ce8048b0e55


URLs

hxxp://www.362com.com/32.exe

hxxp://www.362com.com/64.exe

hxxp://118.45.42.72/Update.txt

hxxp://118.45.42.72/22.exe

hxxp://www.362com.com/Update.txt

hxxp://124.160.126.238/1.exe

hxxp://124.160.126.238/tq.exe

hxxp://124.160.126.238/11.exe

hxxp://124.160.126.238/Down.exe

hxxp://124.160.126.238/MSSQL.exe


Domain

www.361com.com

www.362com.com

22ssh.com


IP

124.160.126.238

118.45.42.72

参考链接

1.   又见针对SQL Server弱密码的攻击,贪吃蛇挖矿木马团伙吃独食

https://mp.weixin.qq.com/s/3J84msMXXH8PPc-J0w8FPA

2.   SQL爆破、提权攻击成惯用伎俩,逾500台服务器被黑客控制

https://mp.weixin.qq.com/s/z3FWK4vqUBGsHwavNOGYIw

  • 产品方案

    • 产品中心

  • 威胁研究

    • 威胁通告
    • 研究报告

  • 合作伙伴

    • 合作伙伴详情

  • 其他

    • 腾讯安全介绍
    • 新闻活动
    • 在线课堂

  • 友情链接

    • 腾讯云

腾讯安全公众号

腾讯安全视频中心

Copyright©1998-2024 Tencent. All Rights Reserved.

在线咨询

方案定制