吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9792|回复: 72
收起左侧

[PC样本分析] 黑客通过MSSQL暴破远控电脑,并部署勒索和挖矿

   关闭 [复制链接]
火绒安全实验室 发表于 2023-10-23 17:48
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 火绒安全实验室 于 2023-10-25 16:21 编辑

近期,火绒安全团队发现黑客正通过MSSQL暴破进行大规模网络攻击。一旦黑客攻击成功,其不仅可以远控用户电脑进行任意操作,还可以下发 Mallox 勒索和挖矿软件,并且这些软件都经过了多层混淆加密,进一步增加了杀毒软件的检测难度,对用户构成较大的威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
Image-0.png       
查杀图


黑客团伙对目标 MSSQL 数据库暴破成功后,会下发Mallox 勒索软件和加密货币挖矿模块,这些模块都采用了多种编程语言和脚本进行封装和混淆,以规避杀毒软件的检测。随后,其还会部署Remcos 木马,以完全控制受害者的计算机,窥探用户敏感信息,如密码、浏览器记录等。该病毒的执行流程,如下图所示:

Image-1.png
病毒传播流程图




火绒工程师通过对用户电脑登录日志的审查,发现了黑客进行暴破攻击的痕迹,如下图所示:

Image-2.png
黑客暴破攻击日志

该黑客团伙通过MSSQL暴破成功后,下发的勒索和挖矿软件都经过了多层混淆加密,预计后续还会持续更新加密手段。火绒工程师建议用户,可以使用强密码、启用多因素身份验证等方法防御。如果您是企业环境,建议部署火绒企业版,通过暴破攻击防护功能进行防护。
注:“Remcos”是一款在售卖的远控软件, 常被黑客用来进行各种恶意攻击。


一、   样本分析


后门模块


当黑客成功对目标MSSQL数据库进行暴破后,会通过执行CMD命令来下载、执行后门模块来控制受害者电脑,相关CMD命令,如下图所示:

Image-3.png


执行的CMD命令


模块2R186ED5.exe是最外层的壳,该模块启动后会释放Qsetup脚本引擎到temp目录中并执行相应脚本,火绒剑监控到的行为,如下图所示:
Image-4.png
火绒剑监控到的行为


Qsetup脚本内容,如下图所示:
Image-5.png


Qsetup


Qsetup脚本会释放Autoit脚本引擎相关文件到temp目录下并通过CMD执行脚本文件,火绒剑监控到的行为,如下图所示:

Image-6.png
火绒剑监控到的行为


脚本文件进行了简单的混淆,执行后会释放Autoit引擎并执行Autoit脚本,脚本去混淆后的内容,如下图所示:

Image-7.png


脚本文件


Autoit脚本被添加混淆来增加查杀难度,混淆手段有:命名随机化、字符串加密、控制流混淆等,如下图所示:



Image-8.png


脚本混淆


将其进行去混淆后进行分析,该脚本还具备多种对抗手段,如:检测杀毒引擎指纹、无用循环等手段,如下图所示:

Image-9.png

对抗手段


经过多层的混淆和加密之后,最终将Remcos木马注入进ftp.exe进程中,如下图所示:

Image-10.png
注入ftp.exe


通过查看字符串可以发现,该Remcos的版本号为:4.0.1,关键字符串信息,如下图所示:

Image-11.png
关键字符串信息


Remcos是一款在售卖的远控软件, 常被黑客用来进行各种恶意攻击,官网信息(翻译后),如下图所示:

Image-12.png
官网信息(翻译后)


Remcos木马会将配置信息用RC4加密保存在资源中,将其解密后的数据,可以得到C&C服务器地址为:80.66.75.41,如下所示:

Image-13.png
解密后的配置文件


勒索模块C&C


服务器还会下发Mallox勒索病毒,相关CMD命令,如下图所示:

Image-14.png


CMD命令


被Mallox病毒勒索后,相关勒索信内容,如下图所示:

Image-15.png
勒索信内容


被勒索后,需要支付0.217比特币(目前大概33707人民币),相关暗网支付页面,如下图所示:

Image-16.png
暗网支付页面


勒索模块被添加两层C#混淆器,第一层为tzt.exe运行后会从C&C服务器上下载第二层壳Adssculgnlnknqruoib,相关代码,如下图所示:

Image-17.png
下载第二层壳


在第二层壳Adssculgnlnknqruoib中,会将勒索病毒利用傀儡进程注入进MSBuild.exe中来执行恶意代码,相关代码,如下图所示:

Image-18.png
傀儡进程注入


MSBuild.exe该Mallox变种较之前版本变化不大,功能基本一致,使用chacha20和Curve25519对文件进行加密,加密文件关键代码,如下图所示:

Image-19.png
加密文件


勒索病毒为了不影响系统的运行,会避开一些系统文件以及文件夹,不加密的文件后缀列表,如下图所示:

Image-20.png
不加密的文件


后缀列表不加密的文件夹列表,如下图所示:

Image-21.png
不加密的文件夹列表


挖矿模块C&C


服务器还会下发挖矿模块,相关CMD命令,如下图所示:

Image-22.png
CMD命令恶意模块


TR1355CG.exe运行以后,会释放挖矿程序XmRig到TEMP目录下并运行,火绒剑监控到的行为,如下图所示:
Image-23.png
火绒剑行为监控


根据XMRig的运行参数可知,矿池地址:xmr.2miners.com:2222,XMRig运行参数,如下图所示:

Image-24.png
XMRig运行参数


二、        附录


C&C
Image-25.png

HASH
Image-26.png

免费评分

参与人数 34吾爱币 +33 热心值 +33 收起 理由
JKL2274 + 1 + 1 热心回复!
匿名网友哟 + 1 热心回复!
snowhee + 1 感谢您的宝贵建议,我们会努力争取做得更好!
zzy17468 + 1 + 1 谢谢@Thanks!
jamezgao + 1 + 1 热心回复!
cyz4474 + 1 + 1 热心回复!
xiaorui + 1 + 1 这个不和以前1433爆破抓鸡一个模式么
random1 + 1 + 1 热心回复!
hellozhanghe + 1 + 1 热心回复!
wlq127 + 1 + 1 热心回复!
FANT456 + 1 + 1 谢谢@Thanks!
violetkylin + 1 + 1 谢谢@Thanks!
SVIP008 + 1 + 1 我很赞同!
a809068872 + 1 + 1 用心讨论,共获提升!
零下一度 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
开心熊猫741 + 1 + 1 我很赞同!
chenxiran + 1 + 1 谢谢@Thanks!
北冥鱼 + 2 + 1 热心回复!
Gaussmoon + 1 谢谢@Thanks!
sunnytiger + 1 + 1 谢谢@Thanks!
小小莱 + 1 + 1 谢谢@Thanks!
liu8833637 + 1 + 1 热心回复!
sapin + 1 + 1 谢谢@Thanks!
daoye9988 + 1 + 1 谢谢@Thanks!
临渊行 + 1 + 1 用心讨论,共获提升!
Doer + 1 我很赞同!
helh0275 + 2 + 1 用心讨论,共获提升!
sorryzzital + 1 + 1 谢谢@Thanks!
overmind20 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
莫奇 + 1 + 1 火绒牛逼
sht281 + 1 + 1 谢谢@Thanks!
tianluo + 1 + 1 用心讨论,共获提升!
yjkhnn + 1 + 1 热心回复!
ndtinfo + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

火之国 发表于 2023-10-23 18:49
感谢分享,不懂看着非常复杂,虽然黑客这样做有其它目的,但是看了这个后发现这得需要多少年的学习经验才能做到“黑客”这种手法,简单的编程都玩不转,汇编啥的当初学了1个月就学会了 mov esp 什么的     ,佩服所有会技术的人
zn1996 发表于 2023-10-23 19:40
害   同事电脑已经中了  elbie后缀的勒索,要加2000刀,好在有大部份资料有硬盘备份,还好公司nas只有个临时交换区域可读写,其它分区他只有只读权限,损失不是很大,有能解密的老哥希望可以分析分享一下。
linerya 发表于 2023-10-23 17:58
哇沙发感觉好厉害的样子,但是服务器安装了火绒还是中勒索我也是很无助。
liming123 发表于 2023-10-23 18:20
这个感觉很可怕
aonima 发表于 2023-10-23 18:26

一般爆破的都是弱口令,或者字典中刚好有密码
残夕若此 发表于 2023-10-23 18:35
火绒天下第一 不接受狡辩
yechao007 发表于 2023-10-23 18:38
防不胜防啊
sht281 发表于 2023-10-23 18:58
了解一下,多谢
头像被屏蔽
hackerSQL 发表于 2023-10-23 19:13
提示: 作者被禁止或删除 内容自动屏蔽
52soft 发表于 2023-10-23 19:15
不错的资料
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-1 03:44

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表