概述
本週騰訊安全應急響應中心接到客戶求助,客戶部署的騰訊御界高階威脅檢測系統發現系統失陷感知資訊,該公司安全管理人員及時聯絡騰訊安全專家協助分析威脅來源。
騰訊御界報告系統攻陷警報
騰訊安全工程師在徵得客戶同意後對客戶機器進行遠端取證,結合御界的關鍵日誌,我們發現這是一起針對SQL Server伺服器的弱口令爆破攻擊事件,由於發現及時,工程師及時協助客戶進行隔離及防毒,並未造成損失。
根據這一線索,騰訊安全御見威脅情報中心展開事件溯源調查,結果發現,該黑客組織已成功入侵3700餘臺SQL伺服器,並繼續通過提權攻擊獲得伺服器管理員許可權,被入侵的伺服器會下載執行門羅幣挖礦木馬,入侵者會開啟伺服器的3389埠,新增一個管理員帳戶以方便隨時登入。
攻擊始末
根據騰訊御界日誌回放,我們還原了此次黑客攻擊的整個流程:
入侵者的攻擊流程
根據騰訊御界日誌記錄,該黑客團伙在對目標SQL伺服器進行數千次連線嘗試,最終爆破弱密碼成功。
御界日誌顯示黑客遠端爆破SQL Server伺服器達數千次之多
由於受害SQL Server伺服器使用了較弱的密碼,在11點37分,黑客爆破成功
御界日誌顯示黑客爆破SQL Server成功
隨後,黑客利用口令登入SQL Server,釋放病毒檔案VBS.vbs,並開始下載木馬,首先下載執行SQLAGENTSA.exe
下載執行SQLAGENTSA.exe
黑客HFS伺服器上的木馬
SQLAGENTSA.exe執行D.hta,而D.hta會下載執行369.exe
下載執行369.exe
369.exe內嵌4個檔案
369.exe釋放的檔案
C:\Windows\Microsoft.NET\Framework\ aspnet_wp.exe
C:\Windows\Microsoft.NET\Framework\ ETComm.dll
C:\Windows\Microsoft.NET\Framework\ mscorsvws.exe
C:\Windows\ MpMgSvc.dll
其中mscorsvws.exe屬於windows提供的小工具srvany.exe,用於將aspnet_wp.exe註冊為服務,aspnet_wp.exe功能是載入ETComm.dll,ETComm.dll屬於“大灰狼”遠控系列。“大灰狼”遠端控制木馬是黑產圈較為流行的遠控工具,據稱該木馬的原始作者已去世,相關程式碼已流落黑產圈開源共享,不同的病毒木馬團伙對其定製改造後釋出了諸多變種版本。在木馬連線已被攻陷的伺服器時,騰訊御界再次告警。
木馬連線伺服器的行為被騰訊御界再次告警
SQLAGENTSA.exe會同時下載挖礦木馬,如果伺服器是Windows系統,則下載sqlagentc.exe,如果是linux則下載64。
木馬會開啟本機的3389埠,併為系統新增一個賬戶,方便黑客遠端登陸伺服器
黑客在受害者機器上新增管理員賬號
關聯分析
工程師對在木馬中留下的相關資訊進一步分析,發現黑客HFS伺服器上存在著很多工具,如Windows提權工具,linux挖礦程式。另外在其中一個HFS伺服器上發現黑客爆破SQL伺服器的攻擊日誌。
黑客掃描的phpmyadmin後臺管理密碼
黑客掃描的SQL Server管理密碼
從掃描日誌看,至少已經有3700餘臺SQL Server伺服器被攻陷,涉及數百家中小型企業,這些資料庫管理許可權已完全失守,或可能導致嚴重資訊洩露事件發生。
部分受害公司IP
安全建議
本次事件由於發現及時,部署騰訊御界高階威脅檢測系統的客戶並未遭遇損失,但溯源發現其他被黑客攻陷的SQL伺服器已達3700餘臺,這些伺服器已被黑客完全控制,資料庫密碼亦被公開暴露在網路上,損失不可估量。騰訊安全專家建議企業使用者高度警惕,採取以下措施防止企業SQL伺服器被該團伙入侵。
1、 加固SQL Server伺服器,修補伺服器安全漏洞。使用安全的密碼策略,使用高強度密碼,切勿使用弱口令,特別是sa賬號密碼,防止黑客暴力破解。資料庫伺服器被黑客暴力破解會導致企業關鍵業務資訊洩露。
企業伺服器可使用騰訊御點協助安裝安全補丁
2、 修改SQL Sever服務預設埠,在原始配置基礎上更改預設1433埠設定,並且設定訪問規則,拒絕1433埠探測。
3、 檢查伺服器是否已開啟遠端桌面服務(3389埠),並檢查是否有異常帳戶新增和登入事件發生。
4、 推薦部署騰訊御界高階威脅檢測系統。御界高階威脅檢測系統,是基於騰訊反病毒實驗室的安全能力、依託騰訊安全在雲和端的海量資料,研發出的獨特威脅情報和惡意檢測模型系統。
騰訊御界高階威脅檢測系統
IOCs
由於不法分子可能通過IOCs獲取多達數千臺受害企業的敏感資訊,本報告暫不公開詳細的IOC資訊。