御界预警：3700余台SQL服务器被入侵挖矿或导致严重信息泄露事件

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

御界预警：3700余台SQL服务器被入侵挖矿或导致严重信息泄露事件

2019-04-12 18:01:17

所属地广东省

概述

本周腾讯安全应急响应中心接到客户求助，客户部署的腾讯御界高级威胁检测系统发现系统失陷感知信息，该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源。

腾讯御界报告系统攻陷警报

腾讯安全工程师在征得客户同意后对客户机器进行远程取证，结合御界的关键日志，我们发现这是一起针对SQL Server服务器的弱口令爆破攻击事件，由于发现及时，工程师及时协助客户进行隔离及杀毒，并未造成损失。

根据这一线索，腾讯安全御见威胁情报中心展开事件溯源调查，结果发现，该黑客组织已成功入侵3700余台SQL服务器，并继续通过提权攻击获得服务器管理员权限，被入侵的服务器会下载运行门罗币挖矿木马，入侵者会开启服务器的3389端口，添加一个管理员帐户以方便随时登录。

攻击始末

根据腾讯御界日志回放，我们还原了此次黑客攻击的整个流程：

入侵者的攻击流程

根据腾讯御界日志记录，该黑客团伙在对目标SQL服务器进行数千次连接尝试，最终爆破弱密码成功。

御界日志显示黑客远程爆破SQL Server服务器达数千次之多

由于受害SQL Server服务器使用了较弱的密码，在11点37分，黑客爆破成功

御界日志显示黑客爆破SQL Server成功

随后，黑客利用口令登录SQL Server，释放病毒文件VBS.vbs，并开始下载木马，首先下载执行SQLAGENTSA.exe

下载执行SQLAGENTSA.exe

黑客HFS服务器上的木马

SQLAGENTSA.exe执行D.hta，而D.hta会下载执行369.exe

下载执行369.exe

369.exe内嵌4个文件

369.exe释放的文件

C:\Windows\Microsoft.NET\Framework\aspnet_wp.exe

C:\Windows\Microsoft.NET\Framework\ETComm.dll

C:\Windows\Microsoft.NET\Framework\mscorsvws.exe

C:\Windows\ MpMgSvc.dll

其中mscorsvws.exe属于windows提供的小工具srvany.exe，用于将aspnet_wp.exe注册为服务，aspnet_wp.exe功能是加载ETComm.dll，ETComm.dll属于“大灰狼”远控系列。“大灰狼”远程控制木马是黑产圈较为流行的远控工具，据称该木马的原始作者已去世，相关代码已流落黑产圈开源共享，不同的病毒木马团伙对其定制改造后发布了诸多变种版本。在木马连接已被攻陷的服务器时，腾讯御界再次告警。