黑客爆破攻击Sql Server,已控制数百台企业服务器和网站
感谢腾讯御见威胁情报中心来稿!
原文:腾讯御见威胁情报中心
一、概述
SQL爆破、提权攻击已成攻击者惯用伎俩,但仍有部分企业网管使用弱口令导致服务器被黑客操控。近日,腾讯安全御见威胁情报中心发现一起针对SQL数据库的爆破攻击事件,攻击成功后会根据系统环境下发远控木马、植入Webshell、在目标服务器创建管理员用户。本次攻击的失陷服务器已达数百台之多,主要受害者位于陕西、山西、吉林等地。
该木马的攻击行动具有如下特点二、详细分析
攻击者在HFS上的工具列表
从HFS列表可以看出,该团伙主要通过Mssql&mysql爆破,3389爆破,攻击成功后再利用提权工具进行提权,以mssql爆破工具进行分析
Start.bat启动扫描任务,并根据扫描结果进行爆破
Dhls.exe根据ip.txt中的IP列表扫描主机是否开放sql相关端口,接着使用CSQL.exe尝试爆破,其中user.txt,pass.txt分别是用户名和密码,爆破成功的IP会输出到out.txt中,接着CSQL中会对out.txt中机器进行远程命令执行,sql命令保存在2018.sql
Sql命令结束杀软进程
向系统添加账户 SQLuser, *** $ *** 520
下载并执行team.exe
目前team.exe已经无法下载,无法得知里面具体功能,从攻击者的文件服务器上看,攻击者在爆破成功后会下发TeamView远程控制工具或webshell:hxxp://124.16.146.185:9000/tv.exe,并通过TVGET.exe程序获取到TeamView的用户ID和密码:
如果是web服务器,则会下发Webshell到c:/1.php,c:/1.asp,c:/1.aspx
Webshell经过简单加密混淆,base64及字符压缩
解密后联网下载404.gif
404.gif中是一段被加密shell,通过gzinflate&base64_decode解密后可以得到一个完整的反弹木马。
首先会添加一个账户envl到系统中,方便后续远程登录
反弹链接的C2从cookie中获取反弹链接的C2从cookie中获取
在shell中也包含了用于执行mysql语句的shell
木马可对服务器web页面进行批量挂马
木马功能
目前腾讯安全御见威胁情报中心已监测到有40多家网站,300多个页面被植入该后门。
三、关联分析
追溯攻击中使用的webshell来自webshell8.com,号称免杀主流web护盾。
Webshell的界面
在攻击者发现HFS服务器被盯上后,竟在服务器上放置联系方式。
四、解决方案
腾讯御界检测到服务器遭遇爆破攻击
IOCs
IP
124.218.92.68:9000
124.16.146.185:9000
123.15.33.19:9000
Domain
phpapi.info
tanlini.3322.org
MD5
f1c4842de714e7480e69f41540c3626b
e7c182ece6eceb6f89d6bd9a6d33c53e
5c0249cce6e5c500a54aa34ba2b8c282
c8a689d353b10ca90e88f3f7b4afa25f
78ff58ad4fe3c40e6f6945a2b0c79f36
a7419cf9e40501cfb2762623c5277857
f1f22dc294694ba7a727ea991f88c3a1
URL
hxxp://phpapi.info/404.gif
hxxp://123.15.33.19:9000/team.exe
hxxp://124.16.146.185:9000/CVE2018.exe
hxxp://124.16.146.185:9000/CVE-2018-8120.exe
hxxp://124.16.146.185:9000/freeSSHd.exe
hxxp://124.16.146.185:9000/go.bat
hxxp://124.16.146.185:9000/HAdmin.exe
hxxp://124.16.146.185:9000/K8UA.asxp
hxxp://124.16.146.185:9000/lcx.exe
hxxp://124.16.146.185:9000/mima.ps1
hxxp://124.16.146.185:9000/mimidrv.sys
hxxp://124.16.146.185:9000/mimikatz.exe
hxxp://124.16.146.185:9000/mimikatz_trunk.zip
hxxp://124.16.146.185:9000/mimilib.dll
hxxp://124.16.146.185:9000/nc.exe
hxxp://124.16.146.185:9000/she.aspx
hxxp://124.16.146.185:9000/she.php
hxxp://124.16.146.185:9000/shell.asp
hxxp://124.16.146.185:9000/task.exe
hxxp://124.16.146.185:9000/tcp.exe
hxxp://124.16.146.185:9000/team.exe
hxxp://124.16.146.185:9000/TV_pweg.exe
hxxp://124.16.146.185:9000/TVGET.exe
hxxp://124.16.146.185:9000/TVs.exe
hxxp://124.16.146.185:9000/wce.exe
hxxp://124.16.146.185:9000/Welcome.txt
hxxp://124.16.146.185:9000/x.mof
hxxp://124.16.146.185:9000/xx.jpg
“黑客爆破攻击Sql Server,已控制数百台企业服务器和网站” 的相关文章
区块链公司 Ronin 被黑 6.15亿美元加密货币被盗
视频链接:https://n.sinaimg.cn/sinakd20211219s/138/w600h338/20211219/9907-45d93401a89f40f888b22dc250f73fab.jpg 区块链项目Ronin发布消息称,黑客从该项目窃取价值6.15亿美元的加密货币。按照R...
图片滤镜应用被曝可窃取 FB 登录凭证 下架前已安装超 10 万次
一款用于窃取 Facebook 登录凭证的恶意 Android 应用目前在 Google Play 商城上已经被安装超过 10 万次,而且该应用目前仍可下载(发稿时已下架)。这款恶意程序被伪装成“Craftsart Cartoon Photo Tools”卡通化应用,允许用户上传图片并将其转换为卡通...
FBI 警告勒索软件攻击食品和农业公司威胁粮食生产
美国联邦调查局警告食品和农业公司,要做好准备,防止勒索软件操作者在播种和收获季节攻击农业实体。联邦调查局的警告指出,以前在这些季节对6个粮食合作社的勒索软件攻击是在2021年秋收期间进行的,2022年初的两次攻击可能通过破坏种子和化肥的供应而影响种植季节。 “网络犯罪分子可能将农业合作社视为有利可...
宜家加拿大分公司通报数据泄露事件 影响约 95000 名客户
当地时间5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家(IKEA)加拿大公司在致受影响客户的一封信中表示,可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。 宜家加拿大公司已通知加拿大隐私专员,因为有95...
白宫邀请苹果、亚马逊、IBM讨论开源软件安全问题
在美国遭受多次利用开源软件漏洞的攻击后,包括苹果在内的科技公司高管将于周四参加白宫的网络安全会议。1月13日星期四的会议是由于发现了开源Log4j软件的漏洞而专门召开的,该软件在国际上被用于应用程序的数据记录。 白宫国家安全顾问杰克-沙利文在12月写信给大科技公司的首席执行官,说这种开源软件是一个”...
IRISA 开发新型恶意软件检测系统 通过树莓派探测特定电磁波
计算机科学与随机系统研究所(IRISA)的一支研究团队,刚刚介绍了其新开发的一套恶意软件检测系统,特点是利用树莓派来扫描设备中的特定电磁波。团队成员中宝库了 Annelie Heuser、Matthieu Mastio、Duy-Phuc Pham 和 Damien Marion,且由于这套装置专注于...
评论列表
发表评论
