又见针对SQL Server弱密码的攻击 “贪吃蛇”挖矿木马团伙吃独食

2019-04-01 17:03:05
腾讯御见威胁情报中心监测到挖矿木马与大灰狼远控木马结伴而行,分析发现,黑客针对MS SQL服务器进行暴破攻击,攻击成功后利用多个提权工具进行提权,随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。

简介

腾讯御见威胁情报中心监测到挖矿木马与大灰狼远控木马结伴而行,分析发现,黑客针对MS SQL服务器进行暴破攻击,攻击成功后利用多个提权工具进行提权,随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。本次传播的大灰狼远控采用更隐秘的DNS隧道通信技术,可绕过大部分软件防火墙,多次利用大厂商白文件进行攻击。

该团伙释放挖矿木马的同时,会封堵系统的135139445端口,防止已被自己攻占的系统再被其他黑产团伙入侵控制,而在自己控制资源挖矿时,还会清除已被其他团伙控制的挖矿木马,表现出明显的贪婪特性,腾讯御见威胁情报中心将该团伙命名为“贪吃蛇”挖矿木马团伙。

“贪吃蛇”挖矿木马团伙主要危害MS SQL系统管理员使用弱密码的企业网络,一旦爆破入侵成功,还会利用提权漏洞采取进一步的行动。腾讯安全专家建议企业网管尽快为服务器安装补丁,并停止使用弱口令,数据库服务器被黑客暴力破解会导致企业关键业务信息泄露,腾讯电脑管家及腾讯御点终端安全防护系统均可拦截该团伙投放的病毒。

“贪吃蛇”挖矿木马团伙的传播趋势:

“贪吃蛇“挖矿木马团伙的攻击流程:

详细分析

黑客对mssql爆破成功后运行TQ.exe,入口处会下载MSSQL.exe

接着借助多个提权工具对病毒进程提权,与病毒文件名TQ.exe(提权)对应,释放提权工具:

提权工具被放置在TQ的资源中,共6个提权工具,分别用了2015-2018年的典型提权漏洞,涵盖Windows VistaWindows 10系统及Windows Server系统。

释放的提权工具如下:

提权工具:MS15.exe

WIN8.1提权漏洞,该漏洞是2014930google报给微软的,漏洞发生在chcache.sys驱动NtApphelpCacheControl函数,20151月公开POC

提权工具:MS16_32.exe

2016年的提权工具,利用漏洞编VE-2016-0099


受影响系统

Windows Vista SP2,

Windows Server 2008 SP2 and R2 SP1,

Windows 7 SP1

Windows 8.1,

Windows Server 2012 Gold and R2,

Windows RT 8.1

Windows 10 Gold

提权工具:MS17.exe

利用COM组件权限许可和访问控制漏洞,漏洞公布时间为2017517日,漏洞编号CVE-2017-0213


受影响系统:

Microsoft Windows Server 2016 0

Microsoft Windows Server 2012 R2 0

Microsoft Windows Server 2012 0

Microsoft Windows Server 2008 R2 for x64-based Systems SP1

Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1

Microsoft Windows Server 2008 for x64-based Systems SP2

Microsoft Windows Server 2008 for Itanium-based Systems SP2

Microsoft Windows Server 2008 for 32-bit Systems SP2

Microsoft Windows RT 8.1

Microsoft Windows 8.1 for x64-based Systems 0

Microsoft Windows 8.1 for 32-bit Systems 0

Microsoft Windows 7 for x64-based Systems SP1

Microsoft Windows 7 for 32-bit Systems SP1

Microsoft Windows 10 version 1703 for x64-based Systems 0

Microsoft Windows 10 version 1703 for 32-bit Systems 0

Microsoft Windows 10 Version 1607 for x64-based Systems 0

Microsoft Windows 10 Version 1607 for 32-bit Systems 0

Microsoft Windows 10 version 1511 for x64-based Systems 0

Microsoft Windows 10 version 1511 for 32-bit Systems 0

Microsoft Windows 10 for x64-based Systems 0

提权工具:MS18_32.exe

2018年的内核提权漏洞,部分Windows系统win32k.sys组件的NtUserSetImeInfoEx系统函数内部未验证内核对象中的空指针对象,普通应用程序可利用该空指针漏洞以内核权限执行任意代码。


受影响系统:

Windows 7 for 32-bit Systems Service Pack 1

Windows 7 for x64-based Systems Service Pack 1

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2008 for Itanium-Based Systems ServicePack 2

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 R2 for Itanium-Based Systems ServicePack 1

Windows Server 2008 R2 for x64-based Systems ServicePack 1

提权完成后,启动MSSQLL.exeMSSQLL.exe内置4PE文件

C:\Windows\Microsoft.NET\Framework\mscorsvws.exe

C:\Windows\Microsoft.NET\Framework\aspnet_wp.exe

C:\Windows\Microsoft.NET\Framework\ETComm.dll

C:\Windows\MpMgSvc.dll

mscorsvws.exe从代码上看应该是windows自带小工具,用于将任何exe程序注册为windows服务运行

aspnet_wp.exe被注册为开机启动的服务

Aspnet_wp.exe带有正规的数字签名

其导入表的ETComm.dll被木马利用

大灰狼远控

该木马核心功能在ETComm.dll中,ETComm.dll内置一个PE文件,从关键字串来看属于“大灰狼”远控系列,“大灰狼”远程控制木马是黑产圈较为流行的远控工具,据称该木马的原始作者已去世,相关代码已流落黑产圈开源共享,不同的病毒木马团伙对其定制改造后发布了诸多变种。

ETComm.dll启动svchost进程,并把大灰狼代码注入svchost,该木马抛弃了大端口通信,改用DNS53)隧道通信,C2:112.220.250.18:53

接着关闭本机的135,139,445端口,防止其他远控木马或NSA武器库入侵进来。

ETComm.dl中也藏着另一个PE文件MpMgSvc.dll,该文件头部伪装成bmp图片头部,实际上是一个PE

键盘记录

MpMgSvc是一个键盘记录模块

MSSQLL.exe下载hxxp://4i7i.com/11.exe,保存路径c:\programdata\X64.exe

X64.exe内置5PE文件,分别释放到

C:\Windows\Help\HelpSvc.exe

C:\Windows\Help\Winlogon.exe

C:\Windows\Help\active_desktop_render.dl

C:\Windows\Cursors\TrustedInsteller.exe

HelpSvc.exe仍然是windows服务工具,用于把Winlogon.exe注册为服务,Winlogon.exe是一个音乐播放模块,带有正规数字签名

挖矿木马

Winlogon.exe开机加载active_desktop_render.dllactive_desktop_render.dll负责启动矿机,

木马的矿机名称目前有3个,分别为TrustedInsteller.exeWUDFhosts.exeWmiApSvr.exe,挖矿相关参数被简单加密,以十进制字串形式存在

矿池:pool.usa-138.com:80

钱包: 4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S

更新木马组件,首先解密出URL地址,URL使用hex XOR 0x10后转为字符串存储

Update.txt是木马的更新配置文件,矿机更新

挖矿木马为了独占机器资源,会干掉相当一部分异类挖矿木马

也会删除异类挖矿木马的文件

hxxp://wmi.4i7i.com/32.exe64.exe就是最新版的矿机,基于开源矿机XMRIG(门罗币挖矿程序)修改。

关联分析:

通过对该木马的详细分析,发现其使用的部分文件路径与去年曝光的“ShadowMiner”有几分相似,但入侵手法,C2,域名,以及钱包信息都不相同,腾讯御见威胁情报中心将该团伙命名为“贪吃蛇”,以与其他黑产团伙做区分。

安全建议

1、  加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。

2、  修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。

3、  企业用户可在服务器部署腾讯御点终端及时对服务器打补丁,防止这类木马利用windows提权漏洞,从而防范此类攻击。

对于已经中毒的企业和个人用户,除了使用杀毒软件清理此病毒外,还可手动做以下操作:

删除文件:

C:/ProgramData/MSSQLL.exe

C:\Windows\Microsoft.NET\Framework\mscorsvws.exe

C:\Windows\Microsoft.NET\Framework\aspnet_wp.exe

C:\Windows\Microsoft.NET\Framework\ETComm.dll

C:\Windows\MpMgSvc.dll

C:\Windows\Help\HelpSvc.exe

C:\Windows\Help\Winlogon.exe

C:\Windows\Help\active_desktop_render.dl

C:\Windows\Cursors\TrustedInsteller.exe

C:\Windows\Cursors\WUDFhosts.exe

C:\Windows\Cursors\WmiApSvr.exe

c:\programdata\X64.exe

C:/ProgramData/MS15.exe

C:/ProgramData/MS16_32.exe

C:/ProgramData/MS17.exe

C:/ProgramData/MS18_32.exe

C:/ProgramData/MS15.exe

C:/ProgramData/MS16_64.exe

C:/ProgramData/MS17.exe

C:/ProgramData/MS18_64.exe

删除注册表服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v3.0.50727_64

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clr_optimization_v3.0.50727_32

IOCs

Payment id

4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S

Domain

sql.4i7i.com

4i7i.com

22ssh.com

URL

hxxp://4i7i.com/11.exe

hxxp://sql.4i7i.com/MSSQL.exe

hxxp://wmi.4i7i.com/32.exe

hxxp://wmi.4i7i.com/64.exe

hxxp://22ssh.com/Update.txt

hxxp://22ssh.com/Update.dll

hxxp://4i7i.com/calc.exe

hxxp://4i7i.com/Down.exe

IP

112.220.250.18

MD5

6c7e80ab2cef29ae01943b750836e814

6860a5415077c8db425b2011cbd072d9

03647fe5c67ea45384aec622220671d3

6f10f4fca023e07fd59a9c1555b57164

2983cf8e78bc0cceb05c0798bc20045a

6cd9b97f74401b0acdfc8c7480cd0f6c

cca7d29e6fe571faa727c9207738852a

a2380cfff3c470c038e07a82dd84657b

058d694b9c705890b19c3e241028ab72

a3f765fa3cef26bca20892be9bd13edf

6931671884a013ac3c9bd2eb70ed9cc1

a7207cf89266b8295f9129f985edd327

参考资料:

“大灰狼”远控木马伪装成“会所会员资料”传播

https://mp.weixin.qq.com/s/pqVYmpIqxEhVBdG_1V3ZPA

最新资讯