一、概述
SQL爆破、提權攻擊已成攻擊者慣用伎倆,但仍有部分企業網管使用弱口令導致服務器被黑客操控。近日,騰訊安全御見威脅情報中心發現一起針對SQL數據庫的爆破攻擊事件,攻擊成功後會根據系統環境下發遠控木馬、植入Webshell、在目標服務器創建管理員用戶。本次攻擊的失陷服務器已達數百臺之多,主要受害者位於陝西、山西、吉林等地。
該木馬的攻擊行動具有如下特點
- 木馬針對普通windows服務器下發TeamView實施遠程控制,監測數據顯示該木馬已控制數百臺服務器;
- 針對web服務器,木馬植入webshell,已知有40多家網站共植入300餘個Webshell;
- 木馬會獲取中毒主機的一般信息,包括:IP地址、操作系統版本、用戶名、CPU、內存、磁盤、安全軟件等基本信息,並將這些信息發送到遠程服務器;
- 入侵成功後,會開啟服務器的RDP服務(遠程桌面服務),且會創建多個具有管理員權限的內置賬戶,方便遠程登錄。
二、詳細分析
攻擊者在HFS上的工具列表
從HFS列表可以看出,該團伙主要通過Mssql&mysql爆破,3389爆破,攻擊成功後再利用提權工具進行提權,以mssql爆破工具進行分析
Start.bat啟動掃描任務,並根據掃描結果進行爆破
Dhls.exe根據ip.txt中的IP列表掃描主機是否開放sql相關端口,接著使用CSQL.exe嘗試爆破,其中user.txt,pass.txt分別是用戶名和密碼,爆破成功的IP會輸出到out.txt中,接著CSQL中會對out.txt中機器進行遠程命令執行,sql命令保存在2018.sql
Sql命令結束殺軟進程
向系統添加賬戶 SQLuser,sm$sm520
下載並執行team.exe
目前team.exe已經無法下載,無法得知裡面具體功能,從攻擊者的文件服務器上看,攻擊者在爆破成功後會下發TeamView遠程控制工具或webshell:hxxp://124.16.146.185:9000/tv.exe,並通過TVGET.exe程序獲取到TeamView的用戶ID和密碼:
如果是web服務器,則會下發Webshell到c:/1.php,c:/1.asp,c:/1.aspx
Webshell經過簡單加密混淆,base64及字符壓縮
解密後聯網下載404.gif
404.gif中是一段被加密shell,通過gzinflate&base64_decode解密後可以得到一個完整的反彈木馬。
首先會添加一個賬戶envl到系統中,方便後續遠程登錄
反彈鏈接的C2從cookie中獲取反彈鏈接的C2從cookie中獲取
在shell中也包含了用於執行mysql語句的shell
木馬可對服務器web頁面進行批量掛馬
木馬功能
目前騰訊安全御見威脅情報中心已監測到有40多家網站,300多個頁面被植入該後門。
三、關聯分析
追溯攻擊中使用的webshell來自webshell8.com,號稱免殺主流web護盾。
Webshell的界面
在攻擊者發現HFS服務器被盯上後,竟在服務器上放置聯繫方式。
四、解決方案
- 加固SQL Server服務器,修補服務器安全漏洞。使用安全的密碼策略,使用高強度密碼,切勿使用弱口令,特別是sa賬號密碼,防止黑客暴力破解。
- 修改SQL Sever服務默認端口,在原始配置基礎上更改默認1433端口設置,並且設置訪問規則,拒絕1433端口探測。
- 企業用戶可在服務器部署騰訊御點終端及時對服務器打補丁,防止這類木馬利用windows提權漏洞,從而防範此類攻擊。
- 推薦企業使用騰訊御界高級威脅檢測系統檢測未知黑客的各種可疑攻擊行為。御界高級威脅檢測系統,是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。(https://s.tencent.com/product/gjwxjc/index.html)
騰訊御界檢測到服務器遭遇爆破攻擊
IOCs
IP
124.218.92.68:9000
124.16.146.185:9000
123.15.33.19:9000
Domain
phpapi.info
tanlini.3322.org
MD5
f1c4842de714e7480e69f41540c3626b
e7c182ece6eceb6f89d6bd9a6d33c53e
5c0249cce6e5c500a54aa34ba2b8c282
c8a689d353b10ca90e88f3f7b4afa25f
78ff58ad4fe3c40e6f6945a2b0c79f36
a7419cf9e40501cfb2762623c5277857
f1f22dc294694ba7a727ea991f88c3a1
URL
hxxp://phpapi.info/404.gif
hxxp://123.15.33.19:9000/team.exe
hxxp://124.16.146.185:9000/CVE2018.exe
hxxp://124.16.146.185:9000/CVE-2018-8120.exe
hxxp://124.16.146.185:9000/freeSSHd.exe
hxxp://124.16.146.185:9000/go.bat
hxxp://124.16.146.185:9000/HAdmin.exe
hxxp://124.16.146.185:9000/K8UA.asxp
hxxp://124.16.146.185:9000/lcx.exe
hxxp://124.16.146.185:9000/mima.ps1
hxxp://124.16.146.185:9000/mimidrv.sys
hxxp://124.16.146.185:9000/mimikatz.exe
hxxp://124.16.146.185:9000/mimikatz_trunk.zip
hxxp://124.16.146.185:9000/mimilib.dll
hxxp://124.16.146.185:9000/nc.exe
hxxp://124.16.146.185:9000/she.aspx
hxxp://124.16.146.185:9000/she.php
hxxp://124.16.146.185:9000/shell.asp
hxxp://124.16.146.185:9000/task.exe
hxxp://124.16.146.185:9000/tcp.exe
hxxp://124.16.146.185:9000/team.exe
hxxp://124.16.146.185:9000/TV_pweg.exe
hxxp://124.16.146.185:9000/TVGET.exe
hxxp://124.16.146.185:9000/TVs.exe
hxxp://124.16.146.185:9000/wce.exe
hxxp://124.16.146.185:9000/Welcome.txt
hxxp://124.16.146.185:9000/x.mof
hxxp://124.16.146.185:9000/xx.jpg
稿源:騰訊御見威脅情報中心
閱讀更多 白帽星球 的文章
