freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    ​黑客爆破攻击Sql Server,已控制数百台企业服务器和网站
    2019-11-22 10:50:40
    所属地 广东省

    一、概述

    SQL爆破、提权攻击已成攻击者惯用伎俩,但仍有部分企业网管使用弱口令导致服务器被黑客操控。近日腾讯安全御见威胁情报中心发现一起针对SQL数据库的爆破攻击事件,攻击成功后会根据系统环境下发远控木马、植入Webshell、在目标服务器创建管理员用户,本次攻击的失陷服务器已达数百台之多,主要受害者位于陕西、山西、吉林等地。 

    该木马的攻击行动具有如下特点:

    1.    木马针对普通windows服务器下发TeamView实施远程控制,监测数据显示该木马已控制数百台服务器;

    2.    针对 web服务器,木马植入webshell,已知有40多家网站共植入300余个Webshell;

    3.    木马会获取中毒主机的一般信息,包括:IP地址、操作系统版本、用户名、CPU、内存、磁盘、安全软件等基本信息,并将这些信息发送到远程服务器;

    4.    入侵成功后,会开启服务器的RDP服务(远程桌面服务),且会创建多个具有管理员权限的内置账户,方便远程登录。

    二、详细分析

    攻击者在HFS上的工具列表

    1.png


    从HFS列表可以看出,该团伙主要通过Mssql&mysql爆破,3389爆破,攻击成功后再利用提权工具进行提权,以mssql爆破工具进行分析 

    2.png


    Start.bat启动扫描任务,并根据扫描结果进行爆破

    3.png


    Dhls.exe根据ip.txt中的IP列表扫描主机是否开放sql相关端口,接着使用CSQL.exe尝试爆破,其中user.txt,pass.txt分别是用户名和密码,爆破成功的IP会输出到out.txt中,接着CSQL中会对out.txt中机器进行远程命令执行,sql命令保存在2018.sql 

    Sql命令结束杀软进程

    4.png


    向系统添加账户 SQLuser,sm$sm520

    5.png


    下载并执行team.exe

    6.png


    目前team.exe已经无法下载,无法得知里面具体功能,从攻击者的文件服务器上看,攻击者在爆破成功后会下发TeamView远程控制工具或webshell:hxxp://124.16.146.185:9000/tv.exe,并通过TVGET.exe程序获取到TeamView的用户ID和密码:

    7.png


    如果是web服务器,则会下发Webshell到c:/1.php,c:/1.asp,c:/1.aspx

    8.png


    Webshell经过简单加密混淆,base64及字符压缩

    9.png


    解密后联网下载404.gif

    10.png


    404.gif中是一段被加密shell,通过gzinflate&base64_decode解密后可以得到一个完整的反弹木马。

    11.png


    首先会添加一个账户envl到系统中,方便后续远程登录

    12.png


    反弹链接的C2从cookie中获取

    13.png


    在shell中也包含了用于执行mysql语句的shell

    14.png


    木马可对服务器web页面进行批量挂马

    15.png

     

    木马功能

    16.png


    目前腾讯安全御见威胁情报中心已监测到有40多家网站,300多个页面被植入该后门。

    17.png

    三、关联分析

    追溯攻击中使用的webshell来自webshell8.com,号称免杀主流web护盾。

    18.png

     

    Webshell的界面

    19.png


    在攻击者发现HFS服务器被盯上后,竟在服务器上放置联系方式。

    20.png


    21.png

    四、解决方案

    1、加固SQL Server服务器,修补服务器安全漏洞。使用安全的密码策略,使用高强度密码,切勿使用弱口令,特别是sa账号密码,防止黑客暴力破解。 

    2、修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则,拒绝1433端口探测。 

    3、企业用户可在服务器部署腾讯御点终端及时对服务器打补丁,防止这类木马利用windows提权漏洞,从而防范此类攻击。 

    4、推荐企业使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)

    22.png

    腾讯御界检测到服务器遭遇爆破攻击

    IOCs

    IP

    124.218.92.68:9000

    124.16.146.185:9000

    123.15.33.19:9000

     

    Domain

    phpapi.info

    tanlini.3322.org

     

    MD5

    f1c4842de714e7480e69f41540c3626b

    e7c182ece6eceb6f89d6bd9a6d33c53e

    5c0249cce6e5c500a54aa34ba2b8c282

    c8a689d353b10ca90e88f3f7b4afa25f

    78ff58ad4fe3c40e6f6945a2b0c79f36

    a7419cf9e40501cfb2762623c5277857

    f1f22dc294694ba7a727ea991f88c3a1

     

    URL

    hxxp://phpapi.info/404.gif

    hxxp://123.15.33.19:9000/team.exe

    hxxp://124.16.146.185:9000/CVE2018.exe

    hxxp://124.16.146.185:9000/CVE-2018-8120.exe

    hxxp://124.16.146.185:9000/freeSSHd.exe

    hxxp://124.16.146.185:9000/go.bat

    hxxp://124.16.146.185:9000/HAdmin.exe

    hxxp://124.16.146.185:9000/K8UA.asxp

    hxxp://124.16.146.185:9000/lcx.exe

    hxxp://124.16.146.185:9000/mima.ps1

    hxxp://124.16.146.185:9000/mimidrv.sys

    hxxp://124.16.146.185:9000/mimikatz.exe

    hxxp://124.16.146.185:9000/mimikatz_trunk.zip

    hxxp://124.16.146.185:9000/mimilib.dll

    hxxp://124.16.146.185:9000/nc.exe

    hxxp://124.16.146.185:9000/she.aspx

    hxxp://124.16.146.185:9000/she.php

    hxxp://124.16.146.185:9000/shell.asp

    hxxp://124.16.146.185:9000/task.exe

    hxxp://124.16.146.185:9000/tcp.exe

    hxxp://124.16.146.185:9000/team.exe

    hxxp://124.16.146.185:9000/TV_pweg.exe

    hxxp://124.16.146.185:9000/TVGET.exe

    hxxp://124.16.146.185:9000/TVs.exe

    hxxp://124.16.146.185:9000/wce.exe

    hxxp://124.16.146.185:9000/Welcome.txt

    hxxp://124.16.146.185:9000/x.mof

    hxxp://124.16.146.185:9000/xx.jpg

    # webshell # 腾讯安全 # SQL爆破 # 腾讯御界
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者