查看原文
其他

黑客通过MSSQL暴破远控电脑,并部署勒索和挖矿

火绒安全实验室 听风安全 2023-11-28
免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

公众号现在只对常读和星标的公众号才展示大图推送,

建议大家把听风安全设为星标,否则可能就看不到啦!

----------------------------------------------------------------------

本文为白名单授权转发

近期,火绒安全团队发现黑客正通过MSSQL暴破进行大规模网络攻击。一旦黑客攻击成功,其不仅可以远控用户电脑进行任意操作,还可以下发 Mallox 勒索和挖矿软件,并且这些软件都经过了多层混淆加密,进一步增加了杀毒软件的检测难度,对用户构成较大的威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
 
查杀图

黑客团伙对目标 MSSQL 数据库暴破成功后,会下发 Mallox 勒索软件和加密货币挖矿模块,这些模块都采用了多种编程语言和脚本进行封装和混淆,以规避杀毒软件的检测。随后,其还会部署 Remcos 木马,以完全控制受害者的计算机,窥探用户敏感信息,如密码、浏览器记录等。该病毒的执行流程,如下图所示:
病毒传播流程图


火绒工程师通过对用户电脑登录日志的审查,发现了黑客进行暴破攻击的痕迹,如下图所示:
黑客暴破攻击日志

该黑客团伙通过MSSQL暴破成功后,下发的勒索和挖矿软件都经过了多层混淆加密,预计后续还会持续更新加密手段。火绒工程师建议用户,可以使用强密码、启用多因素身份验证等方法防御。如果您是企业环境,建议部署火绒企业版,通过暴破攻击防护功能进行防护。

注:“Remcos”是一款在售卖的远控软件, 常被黑客用来进行各种恶意攻击。


样本分析

后门模块

当黑客成功对目标MSSQL数据库进行暴破后,会通过执行CMD命令来下载、执行后门模块来控制受害者电脑,相关CMD命令,如下图所示:
执行的CMD命令

模块2R186ED5.exe是最外层的壳,该模块启动后会释放Qsetup脚本引擎到temp目录中并执行相应脚本,火绒剑监控到的行为,如下图所示:
火绒剑监控到的行为

Qsetup脚本内容,如下图所示:
Qsetup

Qsetup脚本会释放Autoit脚本引擎相关文件到temp目录下并通过CMD执行脚本文件,火绒剑监控到的行为,如下图所示:
火绒剑监控到的行为

脚本文件进行了简单的混淆,执行后会释放Autoit引擎并执行Autoit脚本,脚本去混淆后的内容,如下图所示:
脚本文件

Autoit脚本被添加混淆来增加查杀难度,混淆手段有:命名随机化、字符串加密、控制流混淆等,如下图所示:
脚本混淆

将其进行去混淆后进行分析,该脚本还具备多种对抗手段,如:检测杀毒引擎指纹、无用循环等手段,如下图所示:
对抗手段

经过多层的混淆和加密之后,最终将Remcos木马注入进ftp.exe进程中,如下图所示:
注入ftp.exe

通过查看字符串可以发现,该Remcos的版本号为:4.0.1,关键字符串信息,如下图所示:
关键字符串信息

Remcos是一款在售卖的远控软件, 常被黑客用来进行各种恶意攻击,官网信息(翻译后),如下图所示:
官网信息(翻译后)

Remcos木马会将配置信息用RC4加密保存在资源中,将其解密后的数据,可以得到C&C服务器地址为:80.66.75.41,如下所示:
解密后的配置文件

勒索模块

C&C服务器还会下发Mallox勒索病毒,相关CMD命令,如下图所示:
CMD命令

被Mallox病毒勒索后,相关勒索信内容,如下图所示:
勒索信内容

被勒索后,需要支付0.217比特币(目前大概33707人民币),相关暗网支付页面,如下图所示:
暗网支付页面

勒索模块被添加两层C#混淆器,第一层为tzt.exe运行后会从C&C服务器上下载第二层壳Adssculgnlnknqruoib,相关代码,如下图所示:
下载第二层壳

在第二层壳Adssculgnlnknqruoib中,会将勒索病毒利用傀儡进程注入进MSBuild.exe中来执行恶意代码,相关代码,如下图所示:
傀儡进程注入MSBuild.exe

该Mallox变种较之前版本变化不大,功能基本一致,使用chacha20和Curve25519对文件进行加密,加密文件关键代码,如下图所示:
加密文件

勒索病毒为了不影响系统的运行,会避开一些系统文件以及文件夹,不加密的文件后缀列表,如下图所示:
不加密的文件后缀列表

不加密的文件夹列表,如下图所示:
不加密的文件夹列表

挖矿模块

C&C服务器还会下发挖矿模块,相关CMD命令,如下图所示:
CMD命令

恶意模块TR1355CG.exe运行以后,会释放挖矿程序XmRig到TEMP目录下并运行,火绒剑监控到的行为,如下图所示:
火绒剑行为监控

根据XMRig的运行参数可知,矿池地址:xmr.2miners.com:2222,XMRig运行参数,如下图所示:
XMRig运行参数


附录
C&C


HASH


不可错过的往期推荐哦


地方hw--记一次通过供应链拿下目标权限的过程

新Rootkit病毒利用“天龙八部”进行传播

一次有趣的RCEbypass

Weblogic上传漏洞在不知绝对路径情况下拿shell方法

让后渗透中的Everything变得不再鸡肋

U盘植马之基于arduino的badusb实现及思考

APT是如何杜绝软件包被篡改的

利用sqlserver agent job实现权限维持

SRC挖掘葵花宝典

点击下方名片,关注我们
觉得内容不错,就点下“”和“在看
如果不想错过新的内容推送可以设为星标
继续滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存