腾讯安全报告:紫狐病毒恶意攻击SQL服务器,并呈蠕虫式扩散

2021-06-11 16:13:22
腾讯安全威胁情报中心检测到紫狐病毒最新变种正疯狂攻击企业SQL Server服务器的1433端口,利用弱口令爆破攻击扩散。通过威胁情报数据回溯分析,发现该变种自5月中旬以来感染量已呈大幅上升态势。

摘要:

紫狐病毒最新变种的攻击具备以下特点:

1.通过疯狂扫描1433端口爆破攻击呈蠕虫式传播;

2.5月中旬以来,感染量上升迅速,该僵尸网络正扩散至多个国家;

3.该团伙曾借助游戏外挂、游戏辅助工具、刷量软件、破解补丁等传播,也曾利用服务器组件的高危漏洞传播;

4.该团伙的牟利手段是推广安装用户不需要的软件,锁浏览器主页等

一、概述

腾讯安全威胁情报中心检测到紫狐病毒最新变种正疯狂攻击企业SQL Server服务器的1433端口,利用弱口令爆破攻击扩散。通过威胁情报数据回溯分析,发现该变种自5月中旬以来感染量已呈大幅上升态势。紫狐病毒家族最先出现在2018年,最初通过木马下载器、刷量软件、游戏外挂等工具分发,也曾利用WeblogicThinkPHP等服务器组件漏洞攻击扩散。紫狐病毒团伙主要通过流氓软件分发、刷量、锁浏览器主页等方式牟利,其最新变种针对企业SQL服务器的蠕虫式攻击,会对企业信息安全带来严重影响。

腾讯安全威胁情报中心的检测数据表明,该团伙的影响正在扩散中,国内的受害服务器主要分布于北京、江苏、浙江、广东等地。


而该团伙的攻击活动已影响全球。


腾讯安全专家建议政企用户采取措施消除紫狐病毒影响,SQL服务器停止使用弱口令,避免遭遇蠕虫式攻击,建议用户避免下载使用游戏外挂、辅助工具、软件破解补丁等应用,防止安装隐藏在这些工具中的紫狐病毒。

二、腾讯安全解决方案

紫狐病毒相关的威胁情报数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户通过部署腾讯零信任无边界访问控制系统(iOA)、腾讯高级威胁检测系统(NTA)、腾讯天幕(NIPS)等安全产品检测防御相关威胁。

腾讯零信任iOA(个人用户推荐使用腾讯电脑管家)系统支持检测、查杀捆绑在若干中游戏外挂、刷量工具、或破解补丁中的紫狐病毒。企业用户可通过腾讯零信任iOA系统部署全网安全策略,禁止使用弱口令,关闭高风险端口和服务,降低黑客入侵风险。


通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到由紫狐病毒团伙发起的针对SQL服务器的爆破攻击。


私有云客户可通过旁路部署腾讯天幕(NIPS)实时拦截紫狐病毒的通信连接,通过天幕(NIPS)与腾讯高级威胁检测系统(NTA)的联动,可及时阻断已失陷SQL服务器对其他网络的攻击。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。

三、样本分析

被入侵后安装执行远程伪装图片的msi包(http://182.243.124.170:16147/F12E5CE5.Png),对其下载后解包可看到名为setupact32setupact642PE文件,分别对应Windows平台下的x86x64恶意DLL,加vmp壳。另外存在一个自定义的加密文件dbcode21mk.log,该文件头中包含KewDriver32H标记,后续通过动态解密后作为Rootkit执行,木马通过Pending File Rename结合shim利用劫持的方式,实现持久化。




Msi包安装完成后,在系统内安装MsE6DE4044App.dll模块,该模块会进一步解密自定义的其它KewDriver32H文件安装Rootkit模块,Rootkit被装载成功后正常用户层操作下无法看到系统内任意恶意模块文件。


最终svchost进程被注入执行恶意代码,当前可见,紫狐病毒当前主要进行大规模的扫描1433端口蠕虫式扩散。


通过不断探测 SQL Server服务1433端口,连接sql服务成功后执行xp_cmdshell命令,利用cmd执行powershell最终实现蠕虫扩散横向移动。



通过腾讯安全威胁情报数据分析研判,发现紫狐病毒会进一步组建僵尸网络,利用控制的肉鸡系统搭建木马C2服务器,继续不断扩大其僵尸网络规模。

IOCs

MD5

08434225f861ea6ff208e03e808d7074
fde752850864fc4dde67f5da7e44b176
ba8c6938aa6973e5081f48f1d61e2969
0c23ba682b6912dfb02ab6e6c3926d05

参考链接:

紫狐病毒再升级,利用弱口令爆破及服务器漏洞攻击传播

https://mp.weixin.qq.com/s/C5-iQ0_c6Ph5GJVBUcm0Cg

SQL爆破攻击近期多见,中招系统遭遇流氓软件推装

https://mp.weixin.qq.com/s/1TsekMdAA8VFxPsF9MbJwA

最新资讯