黑客通過MSSQL暴破遠控電腦，并部署勒索和挖礦

近期，火絨安全團隊發現黑客正通過MSSQL暴破進行大規模網絡攻擊。一旦黑客攻擊成功，其不僅可以遠控用戶電腦進行任意操作，還可以下發 Mallox 勒索和挖礦軟件，并且這些軟件都經過了多層混淆加密，進一步增加了殺毒軟件的檢測難度，對用戶構成較大的威脅。目前，火絨安全產品可對上述病毒進行攔截查殺，請用戶及時更新病毒庫以進行防御。

查殺圖

黑客團伙對目標 MSSQL 數據庫暴破成功后，會下發 Mallox 勒索軟件和加密貨幣挖礦模塊，這些模塊都采用了多種編程語言和腳本進行封裝和混淆，以規避殺毒軟件的檢測。隨后，其還會部署 Remcos 木馬，以完全控制受害者的計算機，窺探用戶敏感信息，如密碼、瀏覽器記錄等。該病毒的執行流程，如下圖所示：

病毒傳播流程圖

火絨工程師通過對用戶電腦登錄日志的審查，發現了黑客進行暴破攻擊的痕跡，如下圖所示：

黑客暴破攻擊日志

該黑客團伙通過MSSQL暴破成功后，下發的勒索和挖礦軟件都經過了多層混淆加密，預計后續還會持續更新加密手段。火絨工程師建議用戶，可以使用強密碼、啟用多因素身份驗證等方法防御。如果您是企業環境，建議部署火絨企業版，通過暴破攻擊防護功能進行防護。

注：“Remcos”是一款在售賣的遠控軟件， 常被黑客用來進行各種惡意攻擊。

一

樣本分析

后門模塊

當黑客成功對目標MSSQL數據庫進行暴破后，會通過執行CMD命令來下載、執行后門模塊來控制受害者電腦，相關CMD命令，如下圖所示：

執行的CMD命令

模塊2R186ED5.exe是最外層的殼，該模塊啟動后會釋放Qsetup腳本引擎到temp目錄中并執行相應腳本，火絨劍監控到的行為，如下圖所示：

火絨劍監控到的行為

Qsetup腳本內容，如下圖所示：

Qsetup

Qsetup腳本會釋放Autoit腳本引擎相關文件到temp目錄下并通過CMD執行腳本文件，火絨劍監控到的行為，如下圖所示：

火絨劍監控到的行為

腳本文件進行了簡單的混淆，執行后會釋放Autoit引擎并執行Autoit腳本，腳本去混淆后的內容，如下圖所示：

腳本文件

Autoit腳本被添加混淆來增加查殺難度，混淆手段有：命名隨機化、字符串加密、控制流混淆等，如下圖所示：

腳本混淆

將其進行去混淆后進行分析，該腳本還具備多種對抗手段，如：檢測殺毒引擎指紋、無用循環等手段，如下圖所示：

對抗手段

經過多層的混淆和加密之后，最終將Remcos木馬注入進ftp.exe進程中，如下圖所示：

注入ftp.exe

通過查看字符串可以發現，該Remcos的版本號為：4.0.1，關鍵字符串信息，如下圖所示：

關鍵字符串信息

Remcos是一款在售賣的遠控軟件， 常被黑客用來進行各種惡意攻擊，官網信息（翻譯后），如下圖所示：

官網信息（翻譯后）

Remcos木馬會將配置信息用RC4加密保存在資源中，將其解密后的數據，可以得到C&C服務器地址為：80.66.75.41，如下所示：

解密后的配置文件

勒索模塊

C&C服務器還會下發Mallox勒索病毒，相關CMD命令，如下圖所示：

CMD命令

被Mallox病毒勒索后，相關勒索信內容，如下圖所示：

勒索信內容

被勒索后，需要支付0.217比特幣（目前大概33707人民幣），相關暗網支付頁面，如下圖所示：

暗網支付頁面

勒索模塊被添加兩層C#混淆器，第一層為tzt.exe運行后會從C&C服務器上下載第二層殼Adssculgnlnknqruoib，相關代碼，如下圖所示：

下載第二層殼

在第二層殼Adssculgnlnknqruoib中，會將勒索病毒利用傀儡進程注入進MSBuild.exe中來執行惡意代碼，相關代碼，如下圖所示：

傀儡進程注入MSBuild.exe

該Mallox變種較之前版本變化不大，功能基本一致，使用chacha20和Curve25519對文件進行加密，加密文件關鍵代碼，如下圖所示：

加密文件

勒索病毒為了不影響系統的運行，會避開一些系統文件以及文件夾，不加密的文件后綴列表，如下圖所示：

不加密的文件后綴列表

不加密的文件夾列表，如下圖所示：

不加密的文件夾列表

挖礦模塊

C&C服務器還會下發挖礦模塊，相關CMD命令，如下圖所示：

CMD命令

惡意模塊TR1355CG.exe運行以后，會釋放挖礦程序XmRig到TEMP目錄下并運行，火絨劍監控到的行為，如下圖所示：

火絨劍行為監控

根據XMRig的運行參數可知，礦池地址：xmr.2miners.com:2222，XMRig運行參數，如下圖所示：

XMRig運行參數

二

附錄

C&C

HASH