一、概述

腾讯安全威胁情报中心检测到针对MSSQL服务器攻击的挖矿木马，该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击，爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门，并会添加用户以方便入侵者远程登录该服务器。 

从挖矿木马的HFS服务器计数看，已有上万台MSSQL服务器被植入挖矿木马，另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险，企业数据库服务器沦陷会导致严重信息泄露事件发生。 

腾讯安全专家建议企业在所有服务器上避免使用弱口令，爆破攻击通常是黑客试水的第一步，使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统（御点）已可拦截查杀该挖矿木马。 

二、样本分析

该黑产团伙对mssql服务器进行爆破成功后，会下载执行HFS服务器上的恶意文件，从下载量来看，受感染的服务器有数万台，被植入后门的服务器有数十台，挖矿木马HFS文件列表如下：

Adduser.exe，添加后门账户，用于后续远程登陆。

SQL.exe执行后释放4个文件到c:\windows\Fonts目录中

c:\windows\Fonts\Csrss.exe是NSSM服务封装程序，用于将sqlwriters.exe注册为服务，服务名为SQLServer

Sqlwrites.exe是基于xmrig 6.2的挖矿程序

矿池：

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

Frp_C.exe执行后释放以下文件到c:\windows\Fonts中

Dllhost.exe是一款开源的内网穿透工具Frpc，Bat负责生成frpc配置文件，以及设置服务启动项，目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru，黑客可直接通过RDP连接到受害服务器，进而控制企业内网。

IOCs

Doamin

xxx.hex7e4.ru

xmr.hex7e4.ru

d3d.hex7e4.ru

 IP

43.229.149.62

185.212.128.180

 URLs

hxxp://43.229.149.62:8080/web/Add.exe

hxxp://43.229.149.62:8080/web/AddUser.exe

hxxp://43.229.149.62:8080/web/dw.exe

hxxp://43.229.149.62:8080/web/Frp_C.exe

hxxp://43.229.149.62:8080/web/frpc.exe

hxxp://43.229.149.62:8080/web/frpc.ini

hxxp://43.229.149.62:8080/web/po.jpg

hxxp://43.229.149.62:8080/web/se.jpg

hxxp://43.229.149.62:8080/web/SQL.exe

hxxp://43.229.149.62:8080/web/sqlwriters.jpg

hxxp://43.229.149.62:8080/web/sqlwriters1.jpg

hxxp://43.229.149.62:8080/web/xx.txt

hxxp://43.229.149.62:8080/web/xxx.txt

MD5