木马
dbhelp 挖矿事件应急 奖励¥350
微步情报局 2019-11-20 18:34:14 1343人浏览
情报提交人:
weirdbird
情报简介:

1 详细说明 

  MSSQL sa账户遭暴力破解成功,攻击者创建名为”dbhelp”的数据库用户,服务器被远程控制,并在服务器中留有大量后门文件。

2 入侵途径

MSSQL sa账号存在弱口令了,遭攻击者爆破成功,但是由于mssql 默认未开启sa 登入成功的记录,默认只记录失败的,故这里无法进行确定最终爆破的时间以及ip。

image.png

image.png

3 攻击手法

通过爆破sa 弱口令,开启cmd_shell ,然后提权,利用vb 脚本判断服务器版本,下载对应版本的挖矿程序。

image.png

public 目录下释放的恶意挖矿程序

image.png



4 内部溯源

在mssql中查询系统库下的syslogins表,可发现dbhelp账户的创建时间,可进行确定大概的入侵时间点

image.png

5 攻击外部溯源


对其中的sct 文件进行分析。木马向http://a.qwerr.ga域名(该域名可被替换,但是下载的挖矿的文件都是格式都是http://xxx.com/"wenjian")发起下载请求,下载释放出大量木马文件(挖矿病毒)保存在本地

image.png

image.png

image.png

image.png


6 样本分析

vb 脚本内容

image.png

zip包里释放的挖矿程序

image.png

以及释放后的矿池程序和配置文件里包含矿池的远程地址、以及矿池的账号密码

image.png

image.png

目标行业:

奖励计划获奖情报所有权归微步在线所有。

微步在线有权对该情报进行使用、编辑、存储、复制、修改、创建衍生作品、交流、发布、公开执行、公开显示。

匿名用户 2019-12-17 14:52:38 回复
这个可以
匿名用户 2019-11-25 11:41:47 回复
这个可以