Linux服务器遭遇挖矿蠕虫攻击,已有数千台服务器中招
【文章摘要】 腾讯平安威胁情报中心检测到针对MSSQL服务器攻击的挖矿木马,该挖矿木马主要针对MSSQL服务举行爆破弱口令攻击,爆破乐成后会植入门罗币挖矿木马举行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以利便入侵者远程登录该服务器。腾讯平安专家建议企业在所有服务器上制止使用弱口令,防止企业资产被入侵。一、概述
腾讯平安威胁情报中心检测到针对MSSQL服务器攻击的挖矿木马,该挖矿木马主要针对MS SQL服务举行爆破弱口令攻击,爆破乐成后会植入门罗币挖矿木马举行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以利便入侵者远程登录该服务器。从挖矿木马的HFS服务器计数看,已有上万台MSSQL服务器被植入挖矿木马,尚有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增添黑客入侵风险,企业数据库服务器陷落会导致严重信息泄露事宜发生。
腾讯平安专家建议企业在所有服务器上制止使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令异常容易导致企业资产被入侵。
二、样本剖析
该黑产团伙对mssql服务器举行爆破乐成后,会下载执行HFS服务器上的恶意文件,从下载量来看,受熏染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马HFS文件列表如下:
Adduser.exe,添加后门账户,用于后续远程登陆。
SQL.exe执行后释放4个文件到c:\windows\Fonts目录中
c:\windows\Fonts\Csrss.exe是NSSM服务封装程序,用于将sqlwriters.exe注册为服务,服务名为SQLServer
Sqlwrites.exe是基于xmrig 6.2的挖矿程序
矿池:
xmr.hex7e4.ru:3333
d2pool.ddns.net:3333
xmr.hex7e4.ru:3333
d2pool.ddns.net:3333
Frp_C.exe执行后释放以下文件到c:\windows\Fonts中
Dllhost.exe是一款开源的内网穿透工具Frpc,Bat卖力天生frpc配置文件,以及设置服务启动项,目的是将本机的3389端口露出给黑客服务器frp.hex7e4.ru,黑客可直接通过RDP连接到受害服务器,进而控制企业内网。
IOCs
LaoXinWon携带两个勒索病毒样本,重复加密或增加解密难度
Doamin
xxx.hex7e4.ru
xmr.hex7e4.ru
d3d.hex7e4.ru
IP
43.229.149.62
185.212.128.180
URLs
hxxp://43.229.149.62:8080/web/Add.exe
hxxp://43.229.149.62:8080/web/AddUser.exe
hxxp://43.229.149.62:8080/web/dw.exe
hxxp://43.229.149.62:8080/web/Frp_C.exe
hxxp://43.229.149.62:8080/web/frpc.exe
hxxp://43.229.149.62:8080/web/frpc.ini
hxxp://43.229.149.62:8080/web/po.jpg
hxxp://43.229.149.62:8080/web/se.jpg
hxxp://43.229.149.62:8080/web/SQL.exe
hxxp://43.229.149.62:8080/web/sqlwriters.jpg
hxxp://43.229.149.62:8080/web/sqlwriters1.jpg
hxxp://43.229.149.62:8080/web/xx.txt
hxxp://43.229.149.62:8080/web/xxx.txt
MD5
9a745dc59585a5ad76fee0867acd1427
statr.bat
301257a23e2cad9da915cd942c833146
sqlwriters.exe
9a22fe62ebad16edc5c489c9493a5882
Frp_C.exe
88527fecde10ca426680d5baf6b384d1
po.jpg
e27ba54c177c891ad3077de230813373
xxx.txt
2176ecfe4d91964ffec346dd1527420d
xx.txt
f457a5f0472e309c574795ca339ab566
sql.exe
PyPI 官方仓库遭request恶意包投毒,攻击行为严重威胁linux服务器安全