该团伙攻击影响全国大部分省区,受害最严重的为广东、河北、四川等地。腾讯安全御见威胁情 中心近期先后披露了多个团伙在使用SQL爆破攻击企业 络。
1
入侵阶段
通过sql爆破入侵,爆破成功后会执行多个脚本命令, 部分脚本命令如下:
1
Windows权限提升
下载执行多个提权漏洞,包括CVE-2018-8120, CVE-2015-1701,ms16-032等多个提权漏洞进行提权,从而提升当前进程执行权限,以便于将病毒的MSI安装文件成功安装到计算机中及进行更多需要高权限操作的恶意行为。ms16-032攻击模块下载地址:hxxp://es.ldbdhm.xyz/sqlexec/1603232.jpgms16-032提权漏洞利用代码:
1
安装紫狐木马
下载的SMB1.jpg、SMB3.jpg、Sps.jpg等多个图片格式的文件,实际上是MSI安装包,下载地址为hxxp://Es.ldbdhm.xyz/sqlexec/xxx.jpg
紫狐木马母体功能特点如下:1.winupda32.log、winupda64.log分别为x86、x64不同系统环境下DLL文件,加了VMP壳;
2、通过系统PendingFileRenameOperations机制替换系统文件实现开机启动;
3、解密出DLL文件C:WindowsSysWOW64MsxxxxxxApp.dll并创建服务启动;
4、释放驱动模块隐藏自身行为并在后台推广安装各类软件,病毒通过在受害者电脑恶意推广安装这些软件获利。三、安全建议1、及时修复系统高危漏洞,推荐使用腾讯电脑管家或腾讯御点的漏洞修复功能检测并修复漏洞,须修复包括:CVE-2018-8120, CVE-2015-1701,ms16-032等安全漏洞;
2、推荐使用腾讯电脑管家/腾讯御点拦截此类病毒的攻击,如已中毒,也可使用电脑管家/腾讯御点对“紫狐”病毒进行清理;
腾讯御界高级威胁检测系统检测到针对SQL服务器的爆破攻击
4、建议企业 管尽快检测SQL服务器是否存在弱密码风险,近期针对SQL服务器的弱口令爆破攻击非常多见,攻击者一旦爆破成功,可能给企业造成信息泄露,同时多种攻击方式可能导致勒索病毒、挖矿木马,甚至流氓软件在内 扩散传播,引发更大的损失。
IOCsMD5:364ac68062168fc334f478a2997c62984facb81f57e515a508040270849bcd353fe38271b009298b4cb0b01ef57edbf3de5de649e0821b0dd3dadfa8235416eabe0384e85412a2668008f76dc3b3cceaf5df39c5ed4eb90c169216ace51ed8335bab2f1dd53b3ae08dab8a1a2d7c145c4658ddc4e03f0003f590666ab73261e32c62e2fbef311731ebbc26c785d10f2b14018f47163809b0166591f87d1bb0466467874d952a5ffc1edfd7f05b1cc86dbeac6592dbd3a479a64789e43ec20f27b43442df320d1f89defd772991b6335cae3e7304122469f2de3ecbd920a768d1URL:hxxp://es.ldbdhm.xyz/SMB3.jpghxxp://es.ldbdhm.xyz/sqlexec/1808164.jpghxxp://es.ldbdhm.xyz/sqlexec/1808132.jpghxxp://es.ldbdhm.xyz/sqlexec/pe.jpghxxp://es.ldbdhm.xyz/sqlexec/sps.jpghxxp://es.ldbdhm.xyz/smb3p.jpghxxp://es.ldbdhm.xyz/SMB1.jpghxxp://es.ldbdhm.xyz/SMB2.jpghxxp://es.ldbdhm.xyz/SMB2P.jpghxxp://es.ldbdhm.xyz/smb1p.jpghxxp://es.ldbdhm.xyz/sqlexec/1505164.jpghxxp://es.ldbdhm.xyz/sqlexec/1603232.jpghxxp://es.ldbdhm.xyz/sqlexec/1505132.jpghxxp://es.ldbdhm.xyz/sqlexec/1603264.jpg
腾讯安全、腾讯云诚招队友
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!