一、概述
腾讯安全威胁情报中心检测到针对MSSQL服务器攻击的挖矿木马,该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。从挖矿木马的HFS服务器计数看,已有上万台MSSQL服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。
腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。
二、样本分析
该黑产团伙对mssql服务器进行爆破成功后,会下载执行HFS服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马HFS文件列表如下:
Adduser.exe,添加后门账户,用于后续远程登录。
SQL.exe执行后释放4个文件到c:\windows\Fonts目录中
c:\windows\Fonts\Csrss.exe是NSSM服务封装程序,用于将sqlwriters.exe注册为服务,服务名为SQLServer
Sqlwrites.exe是基于xmrig 6.2的挖矿程序
矿池:
xmr.hex7e4.ru:3333
d2pool.ddns.net:3333
xmr.hex7e4.ru:3333
d2pool.ddns.net:3333
Frp_C.exe执行后释放以下文件到c:\windows\Fonts中
Dllhost.exe是一款开源的内网穿透工具Frpc,Bat负责生成frpc配置文件,以及设置服务启动项,目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru,黑客可直接通过RDP连接到受害服务器,进而控制企业内网。
IOCs
Doamin
xxx.hex7e4.ru
xmr.hex7e4.ru
d3d.hex7e4.ru
IP
43.229.149.62
185.212.128.180
URLs
hxxp://43.229.149.62:8080/web/Add.exe
hxxp://43.229.149.62:8080/web/AddUser.exe
hxxp://43.229.149.62:8080/web/dw.exe
hxxp://43.229.149.62:8080/web/Frp_C.exe
hxxp://43.229.149.62:8080/web/frpc.exe
hxxp://43.229.149.62:8080/web/frpc.ini
hxxp://43.229.149.62:8080/web/po.jpg
hxxp://43.229.149.62:8080/web/se.jpg
hxxp://43.229.149.62:8080/web/SQL.exe
hxxp://43.229.149.62:8080/web/sqlwriters.jpg
hxxp://43.229.149.62:8080/web/sqlwriters1.jpg
hxxp://43.229.149.62:8080/web/xx.txt
hxxp://43.229.149.62:8080/web/xxx.txt
MD5
9a745dc59585a5ad76fee0867acd1427 |
statr.bat |
301257a23e2cad9da915cd942c833146 |
sqlwriters.exe |
9a22fe62ebad16edc5c489c9493a5882 |
Frp_C.exe |
88527fecde10ca426680d5baf6b384d1 |
po.jpg |
e27ba54c177c891ad3077de230813373 |
xxx.txt |
2176ecfe4d91964ffec346dd1527420d |
xx.txt |
f457a5f0472e309c574795ca339ab566 |
sql.exe |