一、概述

　　騰訊安全威脅情報中心檢測到針對 MSSQL 服務器攻擊的挖礦木馬，該挖礦木馬主要針對 MS SQL 服務進行爆破弱口令攻擊，爆破成功后會植入門羅幣挖礦木馬進行挖礦。同時攻擊者下載 frpc 內網穿透工具安裝后門，并會添加用戶以方便入侵者遠程登錄該服務器。

　　從挖礦木馬的 HFS 服務器計數看，已有上萬臺 MSSQL 服務器被植入挖礦木馬，另有數十臺服務器被安裝后門。攻擊者在失陷服務器上安裝內網穿透工具會進一步增加黑客入侵風險，企業數據庫服務器淪陷會導致嚴重信息泄露事件發生。

　　騰訊安全專家建議企業在所有服務器上避免使用弱口令，爆破攻擊通常是黑客試水的第一步，使用弱口令非常容易導致企業資產被入侵。騰訊T-Sec 終端安全管理系統（御點）已可攔截查殺該挖礦木馬。

　　二、樣本分析

　　該黑產團伙對 mssql 服務器進行爆破成功后，會下載執行 HFS 服務器上的惡意文件，從下載量來看，受感染的服務器有數萬臺，被植入后門的服務器有數十臺，挖礦木馬 HFS 文件列表如下：

　　Adduser.exe，添加后門賬戶，用于后續遠程登陸。

　　SQL.exe 執行后釋放 4 個文件到c:\windows\Fonts 目錄中

　　c:\windows\Fonts\Csrss.exe 是 NSSM 服務封裝程序，用于將 sqlwriters.exe 注冊為服務，服務名為 SQLServer

　　Sqlwrites.exe 是基于 xmrig 6.2 的挖礦程序

　　礦池：

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

　　Frp_C.exe 執行后釋放以下文件到c:\windows\Fonts 中

　　Dllhost.exe 是一款開源的內網穿透工具 Frpc，Bat 負責生成 frpc 配置文件，以及設置服務啟動項，目的是將本機的 3389 端口暴露給黑客服務器 frp.hex7e4.ru，黑客可直接通過 RDP 連接到受害服務器，進而控制企業內網。

　　IOCs

　　Doamin

xxx.hex7e4.ru

xmr.hex7e4.ru

d3d.hex7e4.ru

　　IP

43. 229.149.62

185. 212.128.180

　　URLs

hxxp://43.229.149.62:8080/web/Add.exe

hxxp://43.229.149.62:8080/web/AddUser.exe

hxxp://43.229.149.62:8080/web/dw.exe

hxxp://43.229.149.62:8080/web/Frp_C.exe

hxxp://43.229.149.62:8080/web/frpc.exe

hxxp://43.229.149.62:8080/web/frpc.ini

hxxp://43.229.149.62:8080/web/po.jpg

hxxp://43.229.149.62:8080/web/se.jpg

hxxp://43.229.149.62:8080/web/SQL.exe

hxxp://43.229.149.62:8080/web/sqlwriters.jpg

hxxp://43.229.149.62:8080/web/sqlwriters1.jpg

hxxp://43.229.149.62:8080/web/xx.txt

hxxp://43.229.149.62:8080/web/xxx.txt

　　MD5

9a745dc59585a5ad76fee0867acd1427	statr.bat
301257a23e2cad9da915cd942c833146	sqlwriters.exe
9a22fe62ebad16edc5c489c9493a5882	Frp_C.exe
88527fecde10ca426680d5baf6b384d1	po.jpg
e27ba54c177c891ad3077de230813373	xxx.txt
2176ecfe4d91964ffec346dd1527420d	xx.txt
f457a5f0472e309c574795ca339ab566	sql.exe

　　本文作者：騰訊電腦管家，轉載請注明來自 FreeBuf.COM

總結

以上是生活随笔為你收集整理的数万台MSSQL服务器遭爆破入侵，已沦为门罗币矿机的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。