KoiMiner挖礦木馬變種入侵，超5000臺SQL Server伺服器被控制

摘要： 一、概述 騰訊御見威脅情報中心近期發現KoiMiner挖礦木馬變種，該變種的挖礦木馬已升級到6.0版本，木馬作者對部分程式碼加密的方法來對抗研究人員除錯分析，木馬專門針對企業SQL Server 伺服器的1433埠爆破攻擊進行蠕蟲式傳播。騰訊御見威脅情報中心監測資料發現，KoiMiner挖...

一、概述

騰訊御見威脅情報中心近期發現KoiMiner挖礦木馬變種，該變種的挖礦木馬已升級到6.0版本，木馬作者對部分程式碼加密的方法來對抗研究人員除錯分析，木馬專門針對企業SQL Server 伺服器的1433埠爆破攻擊進行蠕蟲式傳播。騰訊御見威脅情報中心監測資料發現，KoiMiner挖礦木馬已入侵控制超過5000臺SQL Server伺服器，對企業資料安全構成重大威脅。該病毒在全國各地均有分佈，廣東、山東、廣西位居前三。

KoiMiner挖礦木馬的活躍趨勢

騰訊安全專家建議企業網管對SQL Server伺服器做重點加固，停止使用簡單密碼，防止伺服器被黑客暴力破解入侵。網管亦可在伺服器部署騰訊御點終端安全管理系統防範此類病毒入侵。

騰訊御點攔截KoiMiner挖礦木馬

與2018年7月發現的KoiMiner對比，該變種具有以下變化：

1.全部程式碼加密改為部分程式碼加密；

2.Apache Struts2漏洞攻擊改為SQL Server 1433埠爆破；

3.下載的挖礦木馬由直接下載PE可執行檔案改為從圖片中獲取二進位制程式碼再生成本地執行的挖礦木馬。

KoiMiner挖礦木馬攻擊流程

攻擊時Sqlbrowser.exe從C2地址獲取動態配置的IP列表（從病毒下載的掃描目標IP段看，攻擊範圍十分廣泛）、埠列表並進行埠掃描，然後對開放1433埠的IP使用C2地址獲取的user列表、password列表進行爆破登入，登入成功後執行sql.txt中的shellcode程式碼。

Shellcode/">Shellcode首先修復SQL的儲存過程xp_cmdshell、sp_addextendedproc，然後註冊多個com元件以便於惡意程式碼執行，然後嘗試結束防毒軟體和taskmgr程序，最後通過寫入二進位制資料流的形式建立並儲存檔案o6.exe、x64.exe、sqlbrowser.exe。o6.exe利用微軟MS16-032漏洞進行提升許可權，然後執行x64.exe挖礦木馬，並啟動sqlbrowser.exe對網路中的其他SQL Server伺服器進行蠕蟲式攻擊。

二、詳細分析

埠爆破

爆破模組sqlbrowser.exe使用C#編寫，部分程式碼使用加密函式進行加密，執行過程中呼叫JvcPLNnlO0s99rHu6y進行解密。

主要類功能如下：

Crack 密碼猜解

Exec 執行SqlCommand（shellcode）

GetConfigInfo 獲取配置檔案

Program 主類

Scan 埠掃描

掃描的IP段列表：1.0.0.0 – 223.255.255.255

埠、使用者名稱、密碼字典

獲取配置檔案ipsList、userList、passwordList、sqlList

對IP進行埠掃描

密碼爆破

Shellcode分析

埠爆破後執行shellocde，shellcode通過多個C2地址動態配置。

以hxxp://18.205.168.2/tinnoota/upload/33/1072/config/ini/sql.txt為例進行分析。

準備階段

恢復SQL的儲存過程xp_cmdshell和sp_addextendedproc，通過過載xpstar.dll、xplog70.dll、odsole70.dll恢復儲存擴充套件，然後利用擴充套件函式來執行服務操作、登錄檔操作、檔案操作、程序操作等命令列。

通過xp_servicecontrol啟動SQLSERVERAGENT服務，通過 sp_configure啟用Ad Hoc Distributed Queries和Ole Automation Procedures，從而更方便進行遠端操作。

通過寫登錄檔Software\Policies\Microsoft\Windows\System，取消CMD命令提示符禁用，寫登錄檔SOFTWARE\Microsoft\Jet\4.0\Engines，開啟沙盒模式，刪除登錄檔SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options中的多個鍵：regini.exe、secedit.exe、ftp.exe、cacls.exe、net1.exe、icacls.exe、cmd.exe、sethc.exe、wscript.exe。

通過登錄檔寫HKEY_CLASSES_ROOT\CLSID來註冊以下COM物件：

Microsoft.Jet.OLEDB.4.0
JavaScript1.1
Scripting.FileSystemObject
Microsoft.XMLHTTP.1.0

通過{72C24DD5-D70A-438B-8A42-98424B88AFB8}（WScript.Shell）執行secedit.exe /configure /db secedit.sdb設定以下檔案的安全屬性：

c:\windows\system32\cmd.exe
c:\windows\system32\ftp.exe
c:\windows\system32\cacls.exe
c:\windows\system32\net1.exe
c:\windows\system32\regini.exe
c:\windows\system32\net1895.exe

通過Scripting.FileSystemObject刪除以下目錄：

c:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\*;
c:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\*;
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\*;
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*;

然後通過{72C24DD5-D70A-438B-8A42-98424B88AFB8}（WScript.Shell）建立Sethc.ini、Sethd.ini並分別寫入以下內容，然後通過regini將其新增至登錄檔：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options [2 8 18]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options [1 7 17]

劫持登錄檔粘滯鍵功能，替換成工作管理員。

通過microsoft.jet.oledb.4.0設定以下檔案完全訪問許可權：

 c:\windows\system32\cmd.exe
c:\windows\system32\ftp.exe
c:\windows\system32\icacls.exe
c:\windows\system32\cacls.exe
c:\windows\system32\wscript.exe

然後嘗試結束防毒軟體程序：

360sd.exe
360tray.exe
360safe.exe
ZhuDongFangYu.exe
360leakfixer.exe
AhnSD.exe
alg.exe
ACASP.exe
AYAgent.exe
msseces.exe
KSafetray.exe
KSafe.exe

嘗試通過三種不同的方法註冊以下元件：

scrrun.dll
wshom.ocx
urlmon.dll
shdocvw.dll
jscript.dll
vbscript.dll

select * from openrowset('microsoft.jet.oledb.4.0',';database=ias\ias.mdb','select shell("regsvr32 scrrun.dll wshom.ocx urlmon.dll shdocvw.dll jscript.dll vbscript.dll /s")'); 

declare @shell00 int exec sp_oacreate'wscript.shell',@shell00 output exec sp_oamethod@shell00,'run',null,'command.com /c regsvr32 scrrun.dll wshom.ocx urlmon.dllshdocvw.dll jscript.dll vbscript.dll /s'; 

declare @shell00 int exec sp_oacreate'wscript.shell',@shell00 output exec sp_oamethod @shell00,'run',null,'regsvr32scrrun.dll wshom.ocx urlmon.dll shdocvw.dll jscript.dll vbscript.dll /s';

Payload植入

通過xp_cmdshell、wscript.shell、microsoft.jet.oledb.4.0三種方法嘗試以下操作：

1.結束程序taskmgr.exe

2.建立以下目錄：

C:\ProgramData
C:\ProgramData\DataFiles
C:\ProgramData\DataFiles\Microsoft
C:\ProgramData\DataFiles\Microsoft\Fonts
C:\ProgramData\DataFiles\Microsoft\Temp
C:\ProgramData\DataFiles\Microsoft\Browser
C:\ProgramData\DataFiles\Microsoft\Images

通過建立並寫入二進位制資料流ADODB.Stream的方法，建立以下檔案並將三段二進位制文字資料分別寫入：

C:\ProgramData\DataFiles\Microsoft\Fonts\o6.exe
C:\ProgramData\DataFiles\Microsoft\Fonts\x64.exe
C:\ProgramData\DataFiles\Microsoft\Images\sqlbrowser.exe

二進位制資料開始

二進位制資料結束

最後通過三種方法執行生成的檔案，命令列引數如下：

C:\ProgramData\DataFiles\Microsoft\Fonts\x64.exe
C:\ProgramData\DataFiles\Microsoft\Fonts\o6.exe x64.exe
C:\ProgramData\DataFiles\Microsoft\Images\sqlbrowser.exe 20181101

x64.exe是挖礦木馬，o6.exe利用漏洞提權並執行x64.exe，sqlbrowser.exe 進行新一輪SQL爆破攻擊，從引數中的“20181101”代表的日期來看，惡意程式碼仍在不斷維護更新中。

提權木馬o6.exe

利用Windows輔助登入服務漏洞MS16-032提升許可權：

然後以高許可權建立指定程序：

挖礦木馬x64.exe

使用C#編寫，部分程式碼使用加密函式進行加密，執行過程中呼叫JvcPLNnlO0s99rHu6y進行解密。

主要類功能如下：

CreateFileByHex 將下載的二進位制建立PE檔案
ExecCommand  啟動指定檔案
MainEntrance 控制挖礦程序、保護程序啟動及停止
ProExecution  建立挖礦檔案路徑、命令列，結束殺軟
Program 主類
ProtectEntrance 監控重啟挖礦程序、結束其他高佔用CPU程序
SetFileAttritubes 設定檔案隱藏、系統許可權可讀屬性以及安全屬性
TheFirstRun  首次運行復制自身到指定目錄、判斷是否具有admin許可權、建立互斥體

首次執行後將自身命名為csrss.exe並拷貝到以下兩個目錄：

C:\ProgramData\MicrosoftLabs\NetFramewor\BreadcrumbStore\Main\

C:\ProgramData\MicrosoftLabs\NetFramewor\BreadcrumbStore\Protect\

csrss.exe從211.54.150.94下載logo_6.gif，然後將其中的二進位制資料寫入App目錄下建立的lsass.exe：

lsass.exe為開源門羅幣挖礦木馬XMRig：

csrss.exe啟動挖礦木馬lsass.exe，啟動引數：

-a cryptonight -o stratum+tcp://pool.supportxmr.com:3333-u48ojQAPbQCY5j75Hshe1mXKSAe3db6NVRAxsiMxS7rMNcEGE1mKGW1eETRamd1cKgRHCtqdTnEUu6NEKKSGXVugN9q2WVM8-p x --donate-level=1 --retries=10 --max-cpu-usage=50 -k -o stratum+tcp://fr.minexmr.com:80-u48ojQAPbQCY5j75Hshe1mXKSAe3db6NVRAxsiMxS7rMNcEGE1mKGW1eETRamd1cKgRHCtqdTnEUu6NEKKSGXVugN9q2WVM8-px --donate-level=1 --retries=1 --max-cpu-usage=50

礦池：

pool.supportxmr.com
fr.minexmr.com

錢包資訊：

錢包資訊顯示，KoiMiner變種控制的錢包已收穫20餘個門羅幣，按最新市價，約相當於1.5萬元人民幣。

三、安全建議

1.加固SQL Server伺服器，修補伺服器安全漏洞。使用安全的密碼策略 ，使用高強度密碼，切勿使用弱口令，特別是sa賬號密碼，防止黑客暴力破解。

2.修改SQL Sever服務預設埠，在原始配置基礎上更改預設1433埠設定，並且設定訪問規則，拒絕1433埠探測。

3.使用騰訊御知網路空間風險雷達（網址： ofollow,noindex" target="_blank">https://s.tencent.com/product/yuzhi/index.html ）進行風險掃描和站點監控。

4.網站管理員可使用騰訊雲網站管家智慧防護平臺（網址： https://s.tencent.com/product/wzgj/index.html ），該系統具備Web入侵防護，0Day漏洞補丁修復等多緯度防禦策略，可全面保護網站系統安全。

IOC/">IOCs（部分）

IP

174.142.80.200

14.47.196.12

125.130.59.163

202.123.183.164

14.33.33.206

221.208.189.96

118.24.16.150

175.6.23.2

211.54.150.94

112.217.125.67

211.112.25.235

111.230.101.122

61.77.166.215

18.205.168.2

211.197.75.71

URL

hxxp://211.112.25.235/ezon/sw/SWFT/Image/user/web/port.txt

hxxp://211.112.25.235/ezon/sw/SWFT/Image/user/web/password.txt

hxxp://211.112.25.235/ezon/sw/swft/image/user/web/sql.txt

hxxp://211.112.25.235/ezon/sw/swft/image/user/web/ip.txt

hxxp://211.112.25.235/ezon/sw/SWFT/Image/user/web/user.txt

hxxp://211.112.25.235/ezon/sw/swft/image/user/web/port.txt

hxxp://174.142.80.200:8080/cameo/fonts/config/ini/files//x32.txt

hxxp://174.142.80.200:8080/cameo/fonts/config/ini/files//n64.txt

hxxp://174.142.80.200:8080/cameo/fonts/config/INI/Files//n32.txt

hxxp://14.47.196.12/ezon/images/xmr64.png

hxxp://125.130.59.163/ezon/images/xmr64.png

hxxp://202.123.183.164/application/partol/images/xmr64.png

hxxp://14.33.33.206/ezon/images/xmr64.png

hxxp://14.33.33.206/ezon/images/xmr32.png

hxxp://221.208.189.96:81/skin/red/images/xmr32.png

hxxp://221.208.189.96:81/skin/red/images/xmr64.png

hxxp://211.54.150.94/ezon/images/img/logo_6.gif

礦池：

pool.supportxmr.com

fr.minexmr.com

錢包：

48ojQAPbQCY5j75Hshe1mXKSAe3db6NVRAxsiMxS7rMNcEGE1mKGW1eETRamd1cKgRHCtqdTnEUu6NEKKSGXVugN9q2WVM8

463tGbooc85VubSo9TjhjLegtVvBQD6qPVJ3LxDoNrtKexAqcyDkoqm9p32MrDoMWcSmWz41EKbxL3AKPJyCjCmcTPZ96

47Uvt85TgZzHkveaTed69jhY4CSN8334BUufUtmaoLSNJadf2BoxxroHm5evYqQy4NJeyVBYYtGK8SHSAtFSiW6aDztDs

48gzbYzJ5mGE6QWQM8F7fKLk46UCoDbQEfeudysEjmifTroCKRmwvoyUGrSMjwy95ZeMrHoURhnFY5LJ9qaYW8FiFoimegp

md5

229dadc6f3a80867d1fa9dae2c26f972

f1d92506cafd52be6b712f866fa274d4

1c68d7254d8907e2f2ee080440d3fe88

8e304c6af1853c1411698172aca4076f

e0d6ea4d42cb00c5427d391c97ba36c8

8ecf43d3b5d2357f89365198528951c0

e8d3fd8f108ed61acddbd20e0740d105

8a068ebbc1428f074884f66c616f6737

5a5462f1847306cb759d6c7abed60af5

64614e399a0aaed26db2a28d145abc68

c5b0b4c325a74cdc13ebf7135f6dcb3a

fb6aafeed4007c183e981b77c73c66ac

72541d0fd0bbda790794d4f2a152aa4e

1b6afd9198fed9b66eafa1d38a365cb3

4a2126ec9c7227144cb857da81e02d27

02e547abb48390e4558bcff8cbbf6be4

02638f1cb23ec5c2ceeca354ee36b11a

*本文作者：騰訊電腦管家，轉載請註明來自FreeBuf.COM