产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec DDos防护
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
等保合规服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录

又见针对SQL Server弱密码的攻击 “贪吃蛇”挖矿木马团伙吃独食
2019-04-01 09:03:05
简介
腾讯御见威胁情报中心监测到挖矿木马与大灰狼远控木马结伴而行,分析发现,黑客针对MS SQL服务器进行暴破攻击,攻击成功后利用多个提权工具进行提权,随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。本次传播的“大灰狼”远控采用更隐秘的DNS隧道通信技术,可绕过大部分软件防火墙,多次利用大厂商白文件进行攻击。
该团伙释放挖矿木马的同时,会封堵系统的135,139,445端口,防止已被自己攻占的系统再被其他黑产团伙入侵控制,而在自己控制资源挖矿时,还会清除已被其他团伙控制的挖矿木马,表现出明显的贪婪特性,腾讯御见威胁情报中心将该团伙命名为“贪吃蛇”挖矿木马团伙。
“贪吃蛇”挖矿木马团伙主要危害MS SQL系统管理员使用弱密码的企业网络,一旦爆破入侵成功,还会利用提权漏洞采取进一步的行动。腾讯安全专家建议企业网管尽快为服务器安装补丁,并停止使用弱口令,数据库服务器被黑客暴力破解会导致企业关键业务信息泄露,腾讯电脑管家及腾讯御点终端安全防护系统均可拦截该团伙投放的病毒。
“贪吃蛇”挖矿木马团伙的传播趋势:
“贪吃蛇“挖矿木马团伙的攻击流程:
详细分析
黑客对mssql爆破成功后运行TQ.exe,入口处会下载MSSQL.exe
接着借助多个提权工具对病毒进程提权,与病毒文件名TQ.exe(提权)对应,释放提权工具:
提权工具被放置在TQ的资源中,共6个提权工具,分别用了2015年-2018年的典型提权漏洞,涵盖Windows Vista至Windows 10系统及Windows Server系统。
释放的提权工具如下:
提权工具:MS15.exe
WIN8.1提权漏洞,该漏洞是2014年9月30号google报给微软的,漏洞发生在chcache.sys驱动NtApphelpCacheControl函数,2015年1月公开POC
提权工具:MS16_32.exe
2016年的提权工具,利用漏洞编VE-2016-0099
受影响系统
Windows Vista SP2,
Windows Server 2008 SP2 and R2 SP1,
Windows 7 SP1
Windows 8.1,
Windows Server 2012 Gold and R2,
Windows RT 8.1
Windows 10 Gold
提权工具:MS17.exe
利用COM组件权限许可和访问控制漏洞,漏洞公布时间为2017年5月17日,漏洞编号CVE-2017-0213
受影响系统:
Microsoft Windows Server 2016 0
Microsoft Windows Server 2012 R2 0
Microsoft Windows Server 2012 0
Microsoft Windows Server 2008 R2 for x64-based Systems SP1
Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows RT 8.1
Microsoft Windows 8.1 for x64-based Systems 0
Microsoft Windows 8.1 for 32-bit Systems 0
Microsoft Windows 7 for x64-based Systems SP1
Microsoft Windows 7 for 32-bit Systems SP1
Microsoft Windows 10 version 1703 for x64-based Systems 0
Microsoft Windows 10 version 1703 for 32-bit Systems 0
Microsoft Windows 10 Version 1607 for x64-based Systems 0
Microsoft Windows 10 Version 1607 for 32-bit Systems 0
Microsoft Windows 10 version 1511 for x64-based Systems 0
Microsoft Windows 10 version 1511 for 32-bit Systems 0
Microsoft Windows 10 for x64-based Systems 0
提权工具:MS18_32.exe
2018年的内核提权漏洞,部分Windows系统win32k.sys组件的NtUserSetImeInfoEx系统函数内部未验证内核对象中的空指针对象,普通应用程序可利用该空指针漏洞以内核权限执行任意代码。
受影响系统:
Windows 7 for 32-bit Systems Service Pack 1
Windows 7 for x64-based Systems Service Pack 1
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2008 for Itanium-Based Systems ServicePack 2
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 R2 for Itanium-Based Systems ServicePack 1
Windows Server 2008 R2 for x64-based Systems ServicePack 1
提权完成后,启动MSSQLL.exe,MSSQLL.exe内置4个PE文件
C:\Windows\Microsoft.NET\Framework\mscorsvws.exe
C:\Windows\Microsoft.NET\Framework\aspnet_wp.exe
C:\Windows\Microsoft.NET\Framework\ETComm.dll
C:\Windows\MpMgSvc.dll
mscorsvws.exe从代码上看应该是windows自带小工具,用于将任何exe程序注册为windows服务运行
aspnet_wp.exe被注册为开机启动的服务
Aspnet_wp.exe带有正规的数字签名
其导入表的ETComm.dll被木马利用
大灰狼远控
该木马核心功能在ETComm.dll中,ETComm.dll内置一个PE文件,从关键字串来看属于“大灰狼”远控系列,“大灰狼”远程控制木马是黑产圈较为流行的远控工具,据称该木马的原始作者已去世,相关代码已流落黑产圈开源共享,不同的病毒木马团伙对其定制改造后发布了诸多变种。
ETComm.dll启动svchost进程,并把大灰狼代码注入svchost,该木马抛弃了大端口通信,改用DNS(53)隧道通信,C2:112.220.250.18:53
接着关闭本机的135,139,445端口,防止其他远控木马或NSA武器库入侵进来。
ETComm.dl中也藏着另一个PE文件MpMgSvc.dll,该文件头部伪装成bmp图片头部,实际上是一个PE
键盘记录
MpMgSvc是一个键盘记录模块
MSSQLL.exe下载hxxp://4i7i.com/11.exe,保存路径c:\programdata\X64.exe
X64.exe内置5个PE文件,分别释放到
C:\Windows\Help\HelpSvc.exe
C:\Windows\Help\Winlogon.exe
C:\Windows\Help\active_desktop_render.dl
C:\Windows\Cursors\TrustedInsteller.exe
HelpSvc.exe仍然是windows服务工具,用于把Winlogon.exe注册为服务,Winlogon.exe是一个音乐播放模块,带有正规数字签名
挖矿木马
Winlogon.exe开机加载active_desktop_render.dll,active_desktop_render.dll负责启动矿机,
木马的矿机名称目前有3个,分别为TrustedInsteller.exe、WUDFhosts.exe、WmiApSvr.exe,挖矿相关参数被简单加密,以十进制字串形式存在
矿池:pool.usa-138.com:80
钱包: 4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S
更新木马组件,首先解密出URL地址,URL使用hex XOR 0x10后转为字符串存储
Update.txt是木马的更新配置文件,矿机更新
挖矿木马为了独占机器资源,会干掉相当一部分异类挖矿木马
也会删除异类挖矿木马的文件
hxxp://wmi.4i7i.com/32.exe及64.exe就是最新版的矿机,基于开源矿机XMRIG(门罗币挖矿程序)修改。
关联分析:
通过对该木马的详细分析,发现其使用的部分文件路径与去年曝光的“ShadowMiner”有几分相似,但入侵手法,C2,域名,以及钱包信息都不相同,腾讯御见威胁情报中心将该团伙命名为“贪吃蛇”,以与其他黑产团伙做区分。
安全建议
1、 加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。
2、 修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。
3、 企业用户可在服务器部署腾讯御点终端及时对服务器打补丁,防止这类木马利用windows提权漏洞,从而防范此类攻击。
对于已经中毒的企业和个人用户,除了使用杀毒软件清理此病毒外,还可手动做以下操作:
删除文件:
C:/ProgramData/MSSQLL.exe
C:\Windows\Microsoft.NET\Framework\mscorsvws.exe
C:\Windows\Microsoft.NET\Framework\aspnet_wp.exe
C:\Windows\Microsoft.NET\Framework\ETComm.dll
C:\Windows\MpMgSvc.dll
C:\Windows\Help\HelpSvc.exe
C:\Windows\Help\Winlogon.exe
C:\Windows\Help\active_desktop_render.dl
C:\Windows\Cursors\TrustedInsteller.exe
C:\Windows\Cursors\WUDFhosts.exe
C:\Windows\Cursors\WmiApSvr.exe
c:\programdata\X64.exe
C:/ProgramData/MS15.exe
C:/ProgramData/MS16_32.exe
C:/ProgramData/MS17.exe
C:/ProgramData/MS18_32.exe
C:/ProgramData/MS15.exe
C:/ProgramData/MS16_64.exe
C:/ProgramData/MS17.exe
C:/ProgramData/MS18_64.exe
删除注册表服务:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v3.0.50727_64
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v3.0.50727_32
IOCs
Payment id
4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S
Domain
sql.4i7i.com
4i7i.com
22ssh.com
URL
hxxp://4i7i.com/11.exe
hxxp://sql.4i7i.com/MSSQL.exe
hxxp://wmi.4i7i.com/32.exe
hxxp://wmi.4i7i.com/64.exe
hxxp://22ssh.com/Update.txt
hxxp://22ssh.com/Update.dll
hxxp://4i7i.com/calc.exe
hxxp://4i7i.com/Down.exe
IP
112.220.250.18
MD5
6c7e80ab2cef29ae01943b750836e814
6860a5415077c8db425b2011cbd072d9
03647fe5c67ea45384aec622220671d3
6f10f4fca023e07fd59a9c1555b57164
2983cf8e78bc0cceb05c0798bc20045a
6cd9b97f74401b0acdfc8c7480cd0f6c
cca7d29e6fe571faa727c9207738852a
a2380cfff3c470c038e07a82dd84657b
058d694b9c705890b19c3e241028ab72
a3f765fa3cef26bca20892be9bd13edf
6931671884a013ac3c9bd2eb70ed9cc1
a7207cf89266b8295f9129f985edd327
参考资料:
“大灰狼”远控木马伪装成“会所会员资料”传播
https://mp.weixin.qq.com/s/pqVYmpIqxEhVBdG_1V3ZPA

在线咨询