近期腾讯安全御见威胁情报中心捕获到通过SQL服务器爆破传播的挖矿木马,挖矿团伙将恶意程序保存在HFS服务器,并且将木马程序伪装成为某安全软件。SQL爆破成功后首先通过VBS脚本植入主体程序,主体程序继续下载挖矿程序以及执行各种远控指令。最终导致受害企业遭遇严重信息泄露,而挖矿不过是入侵者的小目标。腾讯御点终端安全管理系统可拦截查杀该病毒。
该木马的攻击行动具有如下特点:
2.木马会获取中毒主机的一般信息,包括:IP地址、操作系统版本、用户名、CPU、内存、磁盘、摄像头、安全软件等基本信息,并将这些信息发送到远程服务器
3.木马具有检举计算机帐户,检举会话、获取会话信息、添加删除帐户、开启远程桌面服务、修改硬盘主引导记录、清空系统日志、删除磁盘文件、关闭Windows防火墙、关闭或禁用UAC,下载运行恶意程序,记录键盘信息的能力。
4.木马会利用服务器资源进行门罗币挖矿。
该病毒影响全国多个地区近千台服务器,江苏、北京、浙江、天津、广东受害者数量位居前列。
主体程序和远程监控程序保存在s.cvc.world:6325,挖矿程序保存在c.cvc.world。
1、主体程序SQLAGENTSCK.exe分析
把自身拷贝到C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\\SQLAGENTSAK.exe下,以新进程方式运行
2、SQLAGENTSAK.exe分析
添加注册表"SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ADSLDial"键,设置自身开机启动
3、在C:\DocumentsandSettings\Administrator\LocalSettings\Temp目录下释放VBS.vbs
AutoRunApp.vbs脚本,调用ShellExecuteA函数运行
两个脚本作用相同,间断性遍历系统进程是否存在SQLAGENTSAK.exe进程,不存在就创建
4、挖矿部分
使用WinInet函数从c.cvc.world/o/地址下载对应挖矿程序重命名为sqlagentc.exe,启动参数:cmd/cC:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sqlagentc.exe--donate-level1--max-cpu-usage75-oo.mwwwm.icu:80-ux.05c-px-k>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\CPU_log.txt
矿机是门罗币官网经过修改的2.15.0版本
样本主体进程映射挖矿日志文件CPU_log.txt,保存日志副本在相同目录下的CPU_log1.txt中
5、样本主体进程获取计算机ip、操作系统版本、用户名、cpu类型并读取挖矿日志
CPU_log1.txt内容明文发送到114.113.151.154:9633
6、SQLAGENTSAK.exe进程遍历系统进程查找杀软进程
7、内存中解密5个样本的下载路径,使用WinInet函数下载到C:\Documentsand
Settings\Administrator\LocalSettings\Temp目录下
startas.bat主要是把样本主体添加为计划任务
startae.bat主要是结束该团伙之前版本的恶意进程和删除之前版本的恶意程序
8、三个exe样本把自身拷贝到MicrosoftSQL目录下覆盖原文件,文件尾部追加数据达到
9、SQLIOSIMSN.exe
SQLAGENTMSSQLSQLIOSIMS服务获取操作系统版本、主机名、cpu数量、系统内存、磁盘、摄像头信息,投递恶意程序
连接到t.gmcc.live:2218,发送信息
10、SQLIOSIMSAN.exe
MicrosoftSQLServer服务会在内存解密出NetSys100.dll动态链接库,调用其中的DllFuUpgradrs函数,主要功能:枚举计算机账户,获取账户信息、枚举计算机会话,获取会话信息、添加账户、删除账户、开启TermService服务(远程桌面服务)、修改主引导记录、清空系统日志、删除文件、关闭sharedaccess服务
NetSys100.dll动态链接库中的SWITCH语句
11、sqlbrowsersn.exe
sqlbrowsersn.exe创建服务前会关闭UAC
MicrosoftSQLservice服务检查当前进程运行权限和操作系统主版本号,在内存中解密动态链接库文件Loader.dll,调用其中的StartAsFrameProcess函数
主要功能:下载样本运行、记录键盘信息、获取安装杀软信息、读取清空日志
记录键盘操作保存在C:\Windows\System32\f1bd4c9ab68973c67a2fd529222465d9.key中
关心杀软列表:
(360sd.exe)、百度杀毒(BaiduSdSvc.exe)、百度卫士(baiduSafeTray.exe)、金山杀毒(kxetray.exe)、金山卫士(KSafeTray.exe)、瑞星杀毒(RavMon.exe)、江民(KvMonXP.exe)、瑞星(RavMonD.exe)、QuickHeal(QUHLPSVC.EXE)、微软MSE(msseces.exe)、Comodo杀毒(cfp.exe)、Dr.Web(spiderui.exe)、Outpost(acs.exe)、安博士V3(V3Svc.exe)、韩国胶囊(AYAgent.aye)、AVG(avgwdsvc.exe)、F-secure(f-secure.exe)、卡巴(avp.exe)、麦咖啡(Mcshield.exe)、NOD32(egui.exe)、可牛(knsdtray.exe)、趋势(TMBMSRV.exe)、小红伞(avcenter.exe)、Avast网络安全(ashDisp.exe)、BitDefender(secenter.exe)、PSafe反病毒(PSafeSysTray.exe)、诺顿(ns.exe)、Ad-watch反间谍(K7TSecurity.exe)
1、服务器使用高强度密码(特别是MSSQL服务器的sa账户),切勿使用弱口令,防止黑客暴力破解;
2、使用腾讯电脑管家或腾讯御点终端安全管理系统均可查杀拦截该病毒;
3、对于已中招用户,除了使用杀毒软件清理病毒外,还可以手动做以下操作:
删除文件:
C:\DocumentsandSettings\Administrator\LocalSettings\Temp\SQLAGENTSAK.exe
C:\DocumentsandSettings\Administrator\LocalSettings\Temp\AutoRunApp.vbs
C:\DocumentsandSettings\Administrator\LocalSettings\Temp\VBS.vbs
C:\DocumentsandSettings\Administrator\LocalSettings\Temp\sqlagentc.exe
C:\ProgramFiles\SQLIOSIMS\SQLIOSIMSA.exe
C:\ProgramFiles\MicrosoftSQLServer\SQLIOSIMSD.exe
C:\ProgramFiles\MicrosoftSQLServer\sqlbrowsersa.exe
删除计划任务
C:\WINDOWS\Tasks\.NETFrameworkNGENv4.1.30429
C:\WINDOWS\Tasks\.NETFrameworkNGENv4.1.3042964
C:\WINDOWS\Tasks\.NETFrameworkNGENv4.1.30439
C:\WINDOWS\Tasks\.NETFrameworkNGENv4.1.3043964
C:\WINDOWS\Tasks\.NETFrameworkNGENv4.1.30529
C:\WINDOWS\Tasks\.NETFrameworkNGENv4.1.3052964
C:\WINDOWS\Tasks\.NETFrameworkNGENv4.1.30539
C:\WINDOWS\Tasks\.NETFrameworkNGENv4.1.3053964
注册表删除项
HKLM\System\CurrentControlSet\Services\MicrosoftSQLservice
HKLM\System\CurrentControlSet\Services\MicrosoftSQLServer
HKLM\System\CurrentControlSet\Services\SQLAGENTMSSQLSQLIOSIMS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ADSLDial