事件概述
2021年5月以来鹰眼情报中心(https://ti.duba.net)陆续监测到一些具有相似行为特征的针对 MSSQL 服务器攻击事件。
在分析了这些相似攻击的活动后,我们整理了其攻击流程和技术特征:攻击者针对 MSSQL 脆弱性进行攻击,通过爆破弱口令或漏洞利用的方式获取 MSSQL 的管理员账户权限,随后通过 MSSQL 相关进程调用命令行 Shell(cmd.exe 和 powershell.exe)来下拉和执行载荷模块,载荷负责运行 Cobalt Strike 模块。
在使用 Cobalt Strike 成功感染受害机器后攻击者会下发不同的功能模块,我们观察到攻击者下发 AnyDesk 远控软件和 Mallox 勒索病毒。
值得一提的是,近期从攻击者的远控服务器下拉的攻击载荷都已经被 Neshta 病毒污染。在用户环境中监测到该攻击者活动后,我们从用户环境提取到的载荷模块正常,但间隔一天后再次从远控服务器下拉的载荷已经被 Neshta 污染。
流程分析
攻击者首先通过爆破或漏洞获取了目标服务器上的 MSSQL 账户权限,然后通过 Sql Server 的 xp_cmdshell 组件创建了一个 cmd shell,利用 cmd 生成了 PowerShell 脚本并执行。
PowerShell 脚本从远控服务器下拉攻击载荷,该载荷启动后在内存中解密出 Cobalt Strike 的远控模块 Beacon.dll 并执行,随后攻击者利用 Beacon.dll 模块下发其它组件到被感染机器。在本次攻击事件中,攻击者在受感染的机器上下发 AnyDesk 实现远程控制主机进行窃密,而相似的历史攻击活动中看到攻击者曾下发 Mallox 勒索软件。
详细分析
以近期捕获到的样本 b92.exe 为例,介绍攻击者入侵和感染受害者机器的过程。
运行载荷
下图是攻击者通过 xp_cmdshell 执行的 cmd 命令。xp_cmdshell 是 Sql Server 中的一个组件,通过它可以使用 T-SQL 字符串直接向 Windows 的 cmd shell 发出命令。
该命令在 %TEMP% 目录下创建了 test.ps1 脚本文件并调用 PowerShell 执行该脚本。test.ps1 执行后从远控服务器 (http[:]//144.48.240.69/b92.exe) 下载攻击载荷 b92.exe,将 b92.exe 重命名后写入 %TEMP% 目录下并运行。
b92.exe 从两块原始数据中解密出 Beacon.dll,该 DLL 是内存中的模块,没有文件落地。创建线程并将 Beacon.dll 作为代码执行,之后流程进入 Beacon.dll 中。
下图是 b92.exe 解密 Beacon.dll 和创建线程运行该 dll 的过程。
Beacon.dll 文件的 DOS 头是一段 shellcode,该指令反汇编前后的对比如下。这部分 shellcode 代码将 Beacon.dll 装载PE,再跳转到 dll 入口点运行。
Beacon.dll 解密配置文件的过程如下,通过 XOR 0x2E 运算解出配置文件。
解密得到 Beacon.dll 的部分配置如下,其中包含了攻击者远控服务器的地址”92.255.85.141″。
下发 AnyDesk
我们在被感染机器上发现攻击者大多时候会下发 AnyDesk 软件到被感染机器上,AnyDesk 是一款远程控制程序,提供远程桌面控制、文件传输等多种功能。使用 AnyDesk 进行远程避免了 Cobalt Strike 流量特征容易被检出的风险,且 AnyDesk 软件可以使用官方的服务器中转网络流量,这种情况下受害者与攻击者没有直接通信,有利于攻击者隐藏自身行踪。
下列命令是在被感染机器中发现的,攻击者安装 AnyDesk 软件并设置远程密码。
下发 Mallox 勒索病毒
攻击者曾在2021年10月下发 Mallox 勒索病毒,该病毒因文件被加密后的后缀名为 .mallox 而得名,国外安全厂商称其为 TargetCompany 家族。攻击流程和使用的技术与上述均保持一致,只是在不同时期 C2 有变化,下图是攻击者渗透MSSQL 服务器后下拉 Mallox 勒索的命令。
Mallox 勒索病毒执行的进程链与部分样本MD5。
攻击者留下的勒索信。
同源样本关联
登录鹰眼情报中心(https://ti.duba.net),搜索或者上传样本后查看分析出的 C2 配置,通过 IP 地址查看所属家族和地区等详细信息,在”关联情报”中点击相关通信文件等选项即可获取关联的同源家族样本。
总结
多年来,MSSQL 服务器一直是网络攻击活动的主要目标之一,攻击者每天都会尝试渗透暴露在公网中的 MSSQL 服务,进而劫持服务器。在近两年的攻击事件中,攻击者通过暴力破解、数据库 NDay 漏洞等手段获取数据库权限来完全控制 MSSQL 服务器,进而完成数据窃取或部署挖矿木马、勒索病毒等恶意模块。
为了避免 MSSQL 服务器被此类攻击渗透,我们建议对 MSSQL 使用强密码并定期更新密码,及时更新补丁来修补漏洞,定期备份数据,避免使用默认端口,尽量不暴露在公网,并确保服务器始终处在防火墙的保护之下。
IOC
MD5
5160c839bc5a1c79b2909e5d75bee1d4
fdc596fbeb0688b50ff7b9ab8a3e0e6c
9d3db17fb661b23b535ad1dc949e5c5f
315aaf1f0128e50999fd5b82949a9267
C2
原文始发于微信公众号(鹰眼威胁情报中心):针对 MSSQL 服务器的勒索与窃密攻击
