查看: 1762|回复: 5
收起左侧

[技术原创] 御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件

[复制链接]
腾讯电脑管家
发表于 2019-4-12 18:00:11 | 显示全部楼层 |阅读模式
概述
本周腾讯安全应急响应中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现系统失陷感知信息,该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源。
腾讯御界报告系统攻陷警报
腾讯安全工程师在征得客户同意后对客户机器进行远程取证,结合御界的关键日志,我们发现这是一起针对SQL Server服务器的弱口令爆破攻击事件,由于发现及时,工程师及时协助客户进行隔离及杀毒,并未造成损失。
根据这一线索,腾讯安全御见威胁情报中心展开事件溯源调查,结果发现,该黑客组织已成功入侵3700余台SQL服务器,并继续通过提权攻击获得服务器管理员权限,被入侵的服务器会下载运行门罗币挖矿木马,入侵者会开启服务器的3389端口,添加一个管理员帐户以方便随时登录。

攻击始末
根据腾讯御界日志回放,我们还原了此次黑客攻击的整个流程:
入侵者的攻击流程

       
根据腾讯御界日志记录,该黑客团伙在对目标SQL服务器进行数千次连接尝试,最终爆破弱密码成功。
御界日志显示黑客远程爆破SQL Server服务器达数千次之多
由于受害SQL Server服务器使用了较弱的密码,在11点37分,黑客爆破成功
御界日志显示黑客爆破SQL Server成功
随后,黑客利用口令登录SQL Server,释放病毒文件VBS.vbs,并开始下载木马,首先下载执行SQLAGENTSA.exe
下载执行SQLAGENTSA.exe

黑客HFS服务器上的木马
SQLAGENTSA.exe执行D.hta,而D.hta会下载执行369.exe
下载执行369.exe
369.exe内嵌4个文件
369.exe释放的文件
C:\Windows\Microsoft.NET\Framework\ aspnet_wp.exe
C:\Windows\Microsoft.NET\Framework\ ETComm.dll
C:\Windows\Microsoft.NET\Framework\ mscorsvws.exe
C:\Windows\ MpMgSvc.dll
其中mscorsvws.exe属于windows提供的小工具srvany.exe,用于将aspnet_wp.exe注册为服务,aspnet_wp.exe功能是加载ETComm.dll,ETComm.dll属于“大灰狼”远控系列。“大灰狼”远程控制木马是黑产圈较为流行的远控工具,据称该木马的原始作者已去世,相关代码已流落黑产圈开源共享,不同的病毒木马团伙对其定制改造后发布了诸多变种版本。在木马连接已被攻陷的服务器时,腾讯御界再次告警。
木马连接服务器的行为被腾讯御界再次告警
SQLAGENTSA.exe会同时下载挖矿木马,如果服务器是Windows系统,则下载sqlagentc.exe,如果是linux则下载64。
木马会开启本机的3389端口,并为系统添加一个账户,方便黑客远程登陆服务器
黑客在受害者机器上添加管理员账号

关联分析
工程师对在木马中留下的相关信息进一步分析,发现黑客HFS服务器上存在着很多工具,如Windows提权工具,linux挖矿程序。另外在其中一个HFS服务器上发现黑客爆破SQL服务器的攻击日志。
黑客扫描的phpmyadmin后台管理密码

黑客扫描的SQL Server管理密码
从扫描日志看,至少已经有3700余台SQL Server服务器被攻陷,涉及数百家中小型企业,这些数据库管理权限已完全失守,或可能导致严重信息泄露事件发生。
部分受害公司IP

安全建议
本次事件由于发现及时,部署腾讯御界高级威胁检测系统的客户并未遭遇损失,但溯源发现其他被黑客攻陷的SQL服务器已达3700余台,这些服务器已被黑客完全控制,数据库密码亦被公开暴露在网络上,损失不可估量。腾讯安全专家建议企业用户高度警惕,采取以下措施防止企业SQL服务器被该团伙入侵。
       
1、 加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。数据库服务器被黑客暴力破解会导致企业关键业务信息泄露。
企业服务器可使用腾讯御点协助安装安全补丁
2、 修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。
3、 检查服务器是否已开启远程桌面服务(3389端口),并检查是否有异常帐户添加和登录事件发生。
4、 推荐部署腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯安全在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
腾讯御界高级威胁检测系统
IOCs
由于不法分子可能通过IOCs获取多达数千台受害企业的敏感信息,本报告暂不公开详细的IOC信息。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
小Q机器人
发表于 2019-4-12 23:53:01 | 显示全部楼层
腾讯威武,希望电脑管家越来越强,目前腾讯管家是服务最好的安全厂商.
KEVINZHANG
发表于 2019-4-13 20:14:37 | 显示全部楼层
小Q机器人 发表于 2019-4-12 23:53
腾讯威武,希望电脑管家越来越强,目前腾讯管家是服务最好的安全厂商.

管家是很好,令人满意
不过感觉他的论坛好冷清。。。。没什么人上报病毒。。。。
https://bbs.guanjia.qq.com/forum-280-1.html
他的论坛好像有个bug。。就是不能发帖带附件。。。一定要用百度云。。
☆星~柯南Conan
发表于 2019-4-13 23:17:55 | 显示全部楼层
本帖最后由 ☆星~柯南Conan 于 2019-4-13 23:21 编辑
KEVINZHANG 发表于 2019-4-13 20:14
管家是很好,令人满意
不过感觉他的论坛好冷清。。。。没什么人上报病毒。。。。
https://bbs.guanjia. ...

管家论坛还是有用户反馈上报病毒样本的,可以仔细查看帖子。至于不能发帖带附件,我这试了下还真的不行,管家论坛并没有限制一定要用百度云,提供其他网盘分享链接也是可以的。
小新爱打小怪兽
发表于 2019-4-16 15:35:37 | 显示全部楼层
从大学开始一直用管家,直到2018年就没用了
☆星~柯南Conan
发表于 2019-4-16 15:43:27 | 显示全部楼层
KEVINZHANG 发表于 2019-4-13 20:14
管家是很好,令人满意
不过感觉他的论坛好冷清。。。。没什么人上报病毒。。。。
https://bbs.guanjia. ...

管家论坛不能发帖带附件的问题,官方已知,会跟进处理。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-21 19:46 , Processed in 0.143100 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表