概述

本週騰訊安全應急響應中心接到客戶求助，客戶部署的騰訊御界高階威脅檢測系統發現系統失陷感知資訊，該公司安全管理人員及時聯絡騰訊安全專家協助分析威脅來源。

 騰訊御界報告系統攻陷警報

騰訊安全工程師在徵得客戶同意後對客戶機器進行遠端取證，結合御界的關鍵日誌，我們發現這是一起針對SQL Server伺服器的弱口令爆破攻擊事件，由於發現及時，工程師及時協助客戶進行隔離及防毒，並未造成損失。

根據這一線索，騰訊安全御見威脅情報中心展開事件溯源調查，結果發現，該黑客組織已成功入侵3700餘臺SQL伺服器，並繼續通過提權攻擊獲得伺服器管理員許可權，被入侵的伺服器會下載執行門羅幣挖礦木馬，入侵者會開啟伺服器的3389埠，新增一個管理員帳戶以方便隨時登入。

攻擊始末

根據騰訊御界日誌回放，我們還原了此次黑客攻擊的整個流程：

 入侵者的攻擊流程

根據騰訊御界日誌記錄，該黑客團伙在對目標SQL伺服器進行數千次連線嘗試，最終爆破弱密碼成功。

御界日誌顯示黑客遠端爆破SQL Server伺服器達數千次之多

由於受害SQL Server伺服器使用了較弱的密碼，在11點37分，黑客爆破成功

御界日誌顯示黑客爆破SQL Server成功

隨後，黑客利用口令登入SQL Server，釋放病毒檔案VBS.vbs，並開始下載木馬，首先下載執行SQLAGENTSA.exe

 下載執行SQLAGENTSA.exe

黑客HFS伺服器上的木馬

SQLAGENTSA.exe執行D.hta，而D.hta會下載執行369.exe

 下載執行369.exe

369.exe內嵌4個檔案

 369.exe釋放的檔案

C:\Windows\Microsoft.NET\Framework\ aspnet_wp.exe

C:\Windows\Microsoft.NET\Framework\ ETComm.dll

C:\Windows\Microsoft.NET\Framework\ mscorsvws.exe

C:\Windows\ MpMgSvc.dll

其中mscorsvws.exe屬於windows提供的小工具srvany.exe，用於將aspnet_wp.exe註冊為服務，aspnet_wp.exe功能是載入ETComm.dll，ETComm.dll屬於“大灰狼”遠控系列。“大灰狼”遠端控制木馬是黑產圈較為流行的遠控工具，據稱該木馬的原始作者已去世，相關程式碼已流落黑產圈開源共享，不同的病毒木馬團伙對其定製改造後釋出了諸多變種版本。在木馬連線已被攻陷的伺服器時，騰訊御界再次告警。

木馬連線伺服器的行為被騰訊御界再次告警

SQLAGENTSA.exe會同時下載挖礦木馬，如果伺服器是Windows系統，則下載sqlagentc.exe，如果是linux則下載64。

木馬會開啟本機的3389埠，併為系統新增一個賬戶，方便黑客遠端登陸伺服器

黑客在受害者機器上新增管理員賬號

關聯分析

工程師對在木馬中留下的相關資訊進一步分析，發現黑客HFS伺服器上存在著很多工具，如Windows提權工具，linux挖礦程式。另外在其中一個HFS伺服器上發現黑客爆破SQL伺服器的攻擊日誌。

 黑客掃描的phpmyadmin後臺管理密碼

 黑客掃描的SQL Server管理密碼

從掃描日誌看，至少已經有3700餘臺SQL Server伺服器被攻陷，涉及數百家中小型企業，這些資料庫管理許可權已完全失守，或可能導致嚴重資訊洩露事件發生。

部分受害公司IP

安全建議

本次事件由於發現及時，部署騰訊御界高階威脅檢測系統的客戶並未遭遇損失，但溯源發現其他被黑客攻陷的SQL伺服器已達3700餘臺，這些伺服器已被黑客完全控制，資料庫密碼亦被公開暴露在網路上，損失不可估量。騰訊安全專家建議企業使用者高度警惕，採取以下措施防止企業SQL伺服器被該團伙入侵。

1、 加固SQL Server伺服器，修補伺服器安全漏洞。使用安全的密碼策略，使用高強度密碼，切勿使用弱口令，特別是sa賬號密碼，防止黑客暴力破解。資料庫伺服器被黑客暴力破解會導致企業關鍵業務資訊洩露。

企業伺服器可使用騰訊御點協助安裝安全補丁

2、 修改SQL Sever服務預設埠，在原始配置基礎上更改預設1433埠設定，並且設定訪問規則，拒絕1433埠探測。

3、 檢查伺服器是否已開啟遠端桌面服務（3389埠），並檢查是否有異常帳戶新增和登入事件發生。

4、 推薦部署騰訊御界高階威脅檢測系統。御界高階威脅檢測系統，是基於騰訊反病毒實驗室的安全能力、依託騰訊安全在雲和端的海量資料，研發出的獨特威脅情報和惡意檢測模型系統。

騰訊御界高階威脅檢測系統

IOCs

由於不法分子可能通過IOCs獲取多達數千臺受害企業的敏感資訊，本報告暫不公開詳細的IOC資訊。