黑客通过MSSQL暴破远控电脑，并部署勒索和挖矿

火绒安全实验室

近期，火绒安全团队发现黑客正通过MSSQL暴破进行大规模网络攻击。一旦黑客攻击成功，其不仅可以远控用户电脑进行任意操作，还可以下发 Mallox 勒索和挖矿软件，并且这些软件都经过了多层混淆加密，进一步增加了杀毒软件的检测难度，对用户构成较大的威胁。目前，火绒安全产品可对上述病毒进行拦截查杀，请用户及时更新病毒库以进行防御。
      
查杀图


黑客团伙对目标 MSSQL 数据库暴破成功后，会下发Mallox 勒索软件和加密货币挖矿模块，这些模块都采用了多种编程语言和脚本进行封装和混淆，以规避杀毒软件的检测。随后，其还会部署Remcos 木马，以完全控制受害者的计算机，窥探用户敏感信息，如密码、浏览器记录等。该病毒的执行流程，如下图所示：


病毒传播流程图




火绒工程师通过对用户电脑登录日志的审查，发现了黑客进行暴破攻击的痕迹，如下图所示：


黑客暴破攻击日志

该黑客团伙通过MSSQL暴破成功后，下发的勒索和挖矿软件都经过了多层混淆加密，预计后续还会持续更新加密手段。火绒工程师建议用户，可以使用强密码、启用多因素身份验证等方法防御。如果您是企业环境，建议部署火绒企业版，通过暴破攻击防护功能进行防护。
注：“Remcos”是一款在售卖的远控软件， 常被黑客用来进行各种恶意攻击。


一、   样本分析


后门模块


当黑客成功对目标MSSQL数据库进行暴破后，会通过执行CMD命令来下载、执行后门模块来控制受害者电脑，相关CMD命令，如下图所示：




执行的CMD命令


模块2R186ED5.exe是最外层的壳，该模块启动后会释放Qsetup脚本引擎到temp目录中并执行相应脚本，火绒剑监控到的行为，如下图所示：

火绒剑监控到的行为


Qsetup脚本内容，如下图所示：



Qsetup


Qsetup脚本会释放Autoit脚本引擎相关文件到temp目录下并通过CMD执行脚本文件，火绒剑监控到的行为，如下图所示：


火绒剑监控到的行为


脚本文件进行了简单的混淆，执行后会释放Autoit引擎并执行Autoit脚本，脚本去混淆后的内容，如下图所示：




脚本文件


Autoit脚本被添加混淆来增加查杀难度，混淆手段有：命名随机化、字符串加密、控制流混淆等，如下图所示：






脚本混淆


将其进行去混淆后进行分析，该脚本还具备多种对抗手段，如：检测杀毒引擎指纹、无用循环等手段，如下图所示：



对抗手段


经过多层的混淆和加密之后，最终将Remcos木马注入进ftp.exe进程中，如下图所示：


注入ftp.exe


通过查看字符串可以发现，该Remcos的版本号为：4.0.1，关键字符串信息，如下图所示：


关键字符串信息


Remcos是一款在售卖的远控软件， 常被黑客用来进行各种恶意攻击，官网信息（翻译后），如下图所示：


官网信息（翻译后）


Remcos木马会将配置信息用RC4加密保存在资源中，将其解密后的数据，可以得到C&C服务器地址为：80.66.75.41，如下所示：


解密后的配置文件


勒索模块C&C


服务器还会下发Mallox勒索病毒，相关CMD命令，如下图所示：




CMD命令


被Mallox病毒勒索后，相关勒索信内容，如下图所示：


勒索信内容


被勒索后，需要支付0.217比特币（目前大概33707人民币），相关暗网支付页面，如下图所示：


暗网支付页面


勒索模块被添加两层C#混淆器，第一层为tzt.exe运行后会从C&C服务器上下载第二层壳Adssculgnlnknqruoib，相关代码，如下图所示：


下载第二层壳


在第二层壳Adssculgnlnknqruoib中，会将勒索病毒利用傀儡进程注入进MSBuild.exe中来执行恶意代码，相关代码，如下图所示：


傀儡进程注入


MSBuild.exe该Mallox变种较之前版本变化不大，功能基本一致，使用chacha20和Curve25519对文件进行加密，加密文件关键代码，如下图所示：


加密文件


勒索病毒为了不影响系统的运行，会避开一些系统文件以及文件夹，不加密的文件后缀列表，如下图所示：


不加密的文件


后缀列表不加密的文件夹列表，如下图所示：


不加密的文件夹列表


挖矿模块C&C


服务器还会下发挖矿模块，相关CMD命令，如下图所示：


CMD命令恶意模块


TR1355CG.exe运行以后，会释放挖矿程序XmRig到TEMP目录下并运行，火绒剑监控到的行为，如下图所示：

火绒剑行为监控


根据XMRig的运行参数可知，矿池地址：xmr.2miners.com:2222，XMRig运行参数，如下图所示：


XMRig运行参数


二、        附录


C&C


HASH

火之国

感谢分享，不懂看着非常复杂，虽然黑客这样做有其它目的，但是看了这个后发现这得需要多少年的学习经验才能做到“黑客”这种手法，简单的编程都玩不转，汇编啥的当初学了1个月就学会了 mov esp 什么的     ，佩服所有会技术的人

zn1996

害   同事电脑已经中了  elbie后缀的勒索，要加2000刀，好在有大部份资料有硬盘备份，还好公司nas只有个临时交换区域可读写，其它分区他只有只读权限，损失不是很大，有能解密的老哥希望可以分析分享一下。

linerya

哇沙发感觉好厉害的样子，但是服务器安装了火绒还是中勒索我也是很无助。

liming123

这个感觉很可怕

aonima

liming123 发表于 2023-10-23 18:20
这个感觉很可怕

一般爆破的都是弱口令，或者字典中刚好有密码

残夕若此

火绒天下第一 不接受狡辩

yechao007

防不胜防啊

sht281

了解一下，多谢

hackerSQL

来了解一下

52soft

不错的资料