由SQLserver数据库弱口令拿到系统权限发现勒索病毒

tony1990 · 发表于 2019-7-12 16:46

本帖最后由 tony1990 于 2019-7-12 16:56 编辑

由于数据库给的权限太高，导致可以进行服务器命令执行查看服务器端口的连接状态:
图片1.png

创建服务器账号并加到管理员组：
图片2.png

用创建的账号登录服务器：
图片3.png

查看服务器外连的进程情况，发现大量的异常外连尝试：

图片4.png

经排查未发现可疑用户、计划任务，但是发现异常进程：
图片5.png

病毒分析过程发现的病毒文件，该文件是mssecsvc.exe，经分析该文件是病毒木马的母体：

图片6.png

病毒执行后，会启动线程,循环的向局域网的随机ip发送SMB漏洞利用代码：
图片7.png

病毒文件相关逻辑分析：

图片9.png

在虚拟机启动病毒文件后，监控到的进程：1) 创建多个执行文件2) 加载动态链接库3) 创建socket连接4) 尝试打开链接地址5) 移动及重命名敲诈加密程序tasksche.exe 图片10.png

最终选择重装系统。

贾贵 · 发表于 2019-7-25 13:10

期待楼主更多详细的分析。

tony1990 · 发表于 2019-7-19 09:16

大白痴先生发表于 2019-7-18 22:36
楼主你好啊，你的第一张图里是什么工具呀，谢谢啦

sqltoos以及MSSQL数据分析器都可以

willJ · 发表于 2019-7-15 16:07

期待楼主更多详细的分析。

大白痴先生 · 发表于 2019-7-18 22:36

楼主你好啊，你的第一张图里是什么工具呀，谢谢啦

tony1990 · 发表于 2019-7-19 09:14

大白痴先生发表于 2019-7-18 22:36
楼主你好啊，你的第一张图里是什么工具呀，谢谢啦

sqltoos以及MSSQL数据分析器都可以

lerojon · 发表于 2019-7-21 22:38

期待楼主的详细分析

tony1990 · 发表于 2019-7-31 16:47

gmd81 发表于 2019-7-30 19:23
学习来了，一点也看不懂。

以后尽量的分析的细致一些

biu~biu~biu · 发表于 2019-7-31 22:10

学习一波，虽然新人不是很懂

tony1990 · 发表于 2019-8-1 08:06

biu~biu~biu 发表于 2019-7-31 22:10
学习一波，虽然新人不是很懂

大家互相学习啊

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 由SQLserver数据库弱口令拿到系统权限发现勒索病毒