产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
腾讯安全报告:紫狐病毒恶意攻击SQL服务器,并呈蠕虫式扩散
2021-06-11 08:23:17
摘要:
紫狐病毒最新变种的攻击具备以下特点:
1.通过疯狂扫描1433端口爆破攻击呈蠕虫式传播;
2.自5月中旬以来,感染量上升迅速,该僵尸网络正扩散至多个国家;
3.该团伙曾借助游戏外挂、游戏辅助工具、刷量软件、破解补丁等传播,也曾利用服务器组件的高危漏洞传播;
4.该团伙的牟利手段是推广安装用户不需要的软件,锁浏览器主页等
一、概述
腾讯安全威胁情报中心检测到紫狐病毒最新变种正疯狂攻击企业SQL Server服务器的1433端口,利用弱口令爆破攻击扩散。通过威胁情报数据回溯分析,发现该变种自5月中旬以来感染量已呈大幅上升态势。紫狐病毒家族最先出现在2018年,最初通过木马下载器、刷量软件、游戏外挂等工具分发,也曾利用Weblogic和ThinkPHP等服务器组件漏洞攻击扩散。紫狐病毒团伙主要通过流氓软件分发、刷量、锁浏览器主页等方式牟利,其最新变种针对企业SQL服务器的蠕虫式攻击,会对企业信息安全带来严重影响。
腾讯安全威胁情报中心的检测数据表明,该团伙的影响正在扩散中,国内的受害服务器主要分布于北京、江苏、浙江、广东等地。
而该团伙的攻击活动已影响全球。
腾讯安全专家建议政企用户采取措施消除紫狐病毒影响,SQL服务器停止使用弱口令,避免遭遇蠕虫式攻击,建议用户避免下载使用游戏外挂、辅助工具、软件破解补丁等应用,防止安装隐藏在这些工具中的紫狐病毒。
二、腾讯安全解决方案
紫狐病毒相关的威胁情报数据已加入腾讯安全威胁情报数据库,赋能给腾讯全系列安全产品,客户可以通过订阅腾讯安全威胁情报产品,让全网安全设备同步具备相应的威胁检测、防御、阻断能力。推荐政企客户通过部署腾讯零信任无边界访问控制系统(iOA)、腾讯高级威胁检测系统(NTA)、腾讯天幕(NIPS)等安全产品检测防御相关威胁。
腾讯零信任iOA(个人用户推荐使用腾讯电脑管家)系统支持检测、查杀捆绑在若干中游戏外挂、刷量工具、或破解补丁中的紫狐病毒。企业用户可通过腾讯零信任iOA系统部署全网安全策略,禁止使用弱口令,关闭高风险端口和服务,降低黑客入侵风险。
通过旁路部署腾讯高级威胁检测系统(NTA、御界)进行流量检测分析,及时发现黑客团伙利用漏洞对企业私有云的攻击活动。腾讯高级威胁检测系统(NTA、御界)可检测到由紫狐病毒团伙发起的针对SQL服务器的爆破攻击。
私有云客户可通过旁路部署腾讯天幕(NIPS)实时拦截紫狐病毒的通信连接,通过天幕(NIPS)与腾讯高级威胁检测系统(NTA)的联动,可及时阻断已失陷SQL服务器对其他网络的攻击。腾讯天幕(NIPS)基于腾讯自研安全算力算法PaaS优势,形成具备万亿级海量样本、毫秒级响应、自动智能、安全可视化等能力的网络边界协同防护体系。
三、样本分析
被入侵后安装执行远程伪装图片的msi包(http://182.243.124.170:16147/F12E5CE5.Png),对其下载后解包可看到名为setupact32,setupact64的2个PE文件,分别对应Windows平台下的x86,x64恶意DLL,加vmp壳。另外存在一个自定义的加密文件dbcode21mk.log,该文件头中包含KewDriver32H标记,后续通过动态解密后作为Rootkit执行,木马通过Pending File Rename结合shim利用劫持的方式,实现持久化。
Msi包安装完成后,在系统内安装MsE6DE4044App.dll模块,该模块会进一步解密自定义的其它KewDriver32H文件安装Rootkit模块,Rootkit被装载成功后正常用户层操作下无法看到系统内任意恶意模块文件。
最终svchost进程被注入执行恶意代码,当前可见,紫狐病毒当前主要进行大规模的扫描1433端口蠕虫式扩散。
通过不断探测 SQL Server服务1433端口,连接sql服务成功后执行xp_cmdshell命令,利用cmd执行powershell最终实现蠕虫扩散横向移动。
通过腾讯安全威胁情报数据分析研判,发现紫狐病毒会进一步组建僵尸网络,利用控制的肉鸡系统搭建木马C2服务器,继续不断扩大其僵尸网络规模。
IOCs
MD5
08434225f861ea6ff208e03e808d7074
fde752850864fc4dde67f5da7e44b176
ba8c6938aa6973e5081f48f1d61e2969
0c23ba682b6912dfb02ab6e6c3926d05
参考链接:
紫狐病毒再升级,利用弱口令爆破及服务器漏洞攻击传播
https://mp.weixin.qq.com/s/C5-iQ0_c6Ph5GJVBUcm0Cg
SQL爆破攻击近期多见,中招系统遭遇流氓软件推装
https://mp.weixin.qq.com/s/1TsekMdAA8VFxPsF9MbJwA
在线咨询
方案定制