绕过杀软!SQL Server Transact-SQL 的无文件攻击姿势

2019-05-09 15,977

背景概述

近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破SQL Server服务器后,利用sqlserver Transact-SQL存储C#编译恶意代码,通过MSSQL作业定时执行存储过程,在受害主机下载恶意程序。

排查过程

排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行:

01.png 

02.png 

 

排查注册表启动项,存在一个BGClients,执行c:\windows\system32\wbem\123.bat,看起来十分可疑:

03.png 

 

查看123.bat的内容,其中比较关键的操作是创建了几个隐藏目录,并且通过RegSv***/Scrobj.dll来执行远程SCT脚本:

04.png 

 

顺手逛一下查杀到恶意exe文件的目录,发现两个dvr后缀的文件,打开一看果不其然,包含了用于下载恶意文件的命令:

05.png 

06.png 

 

启动项、注册表、WMI、进程、服务、计划任务都找了一圈,再没发现其他问题,于是把以上发现的问题项统统删除,结案!

 

那是不可能的。

cab.exe又出现了。

而且手动删掉的一堆乱七八糟全都回来了。

 

 

没辙了,只能放大招,通过安装监控,在恶意文件生成的时间节点附近排查监控日志。终于在恶意文件被实时监控拦截的时间节点发现了两条通过数据库进程执行了可疑的cmd命令日志,用于运行c:\windows\debug和c:\progra~1目录下的exe文件,由此推测数据库中存在恶意的执行计划:

08.png 

09.png 

 

对数据库作业进行排查,果然存在一大堆奇怪的计划:

10.png 

 

逐条查看作业步骤,这功能丰富啊,由于内容过多,下面将部分作业对应的命令或功能整理出来:

作业名称

命令

bat.exe

c:\windows\system\backs.bat

cook.exe

删除Content.IE5目录下的内容

dbdotas

下载和执行恶意程序

dbdotas2

下载和执行恶意程序

dbdotas3

下载和执行恶意程序

dbdotas4

下载和执行恶意程序

dll.exe

恢复xp_cmdshell

ftpbacks.exe

ftp –s:c:\windows\wywtem\myusa.dvr

install.exe

C:\Progra~1\mainsoft\install.exe

javas.exe

cd c:\windows\debug&for %a in (*.exe) do start %a

kils.exe

cd c:\Progra`1\shengda&for %a in (*.exe) do start %a

kugou2010

cd c:\Progra`1\kugou2010&for %a in (*.exe) do start %a

macs.exe

cd c:\Progra`1 &for %a in (*.exe) do start %a

ms

c:\windows\system\mainfos.exe –syn 1500

pdoors.exe

ftp –s c:\windows\system\myusago.dvr

regs.exe

EXEC master.dbo.xp_regwrite 'HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows\CurrentVersion\Run','BGClients','REG_SZ','cmd /c start /min c:\windows\system32\wbem\123.bat'

regsa.exe

reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v shell /f

 

可以看到,上一次排查时发现的恶意文件、WMI、注册表等项都可以在表格中找到生成语句,并且还有一些没有排查到的文件,可能被防病毒软件识别清除了。这回可算是结案了吧,先对比作业中的语句将主机上可能存在的残留项都排查一遍,然后删除这些作业。

 

事情果然没有想象中那么简单,某一个风轻云淡的下午四点,cabs.exe又双叒叕回来了,堪称病毒界的灰太狼。

 

四点,这个时间点好像似曾相识,每次防病毒软件弹出查杀到cabs.exe的时间好像都是四点,监控日志中数据库进程执行了恶意cmd命令的时间也是四点,直觉告诉我们,SQL作业中肯定还有问题,于是把目光投向了上一次漏掉的数据库作业,在sqlrc中发现了一条执行存储过程的命令,运行一下:

12.png 

 

这不就是我们苦苦寻找的cabs.exe么!原来是隐藏在存储过程中,执行了ExecCode对象的内容:

13.png 

image.png

 

通过查询Transact-SQL中的项,发现执行的对象ExecCode:

image.png

 

再通过对象名称查询sys.assembly_files表,找到ExecCode对应的content内容,从“4D5A”来看,这应该就是我们要找的目标:

16.png 

 

病毒文件分析

将十六进制数据拷贝出来转换为PE文件,是一个用C#编写的DLL文件,通过MyDownloadFile方法读取指定URL网页的内容:

17.png 

 

该URL的内容如下,也是两个下载链接以及对应保存的完整路径,其中ok.exe地址已失效,ups.rar就是我们发现的cabs.exe:

18.png 

 

MyDownloadFile方法的执行过程如下:

19.png 

 

下载的cabs.exe是一个下载器,会下载Mykings、Mirai、暗云、挖矿等多个恶意模块到受害主机,功能十分复杂:

20.png 

 

解决方案

1.删除SQL Server中的恶意作业和存储过程;

2.删除主机中存在的恶意程序、WMI、注册表项等,详见下表:

文件路径

c:\windows\system32\wpd.xml

c:\windows\system32\wpd1.xml

c:\windows\debug\items.dat

C:\ WINDOWS\ps.exe

c:\windows\system32\wbem\123.bat

c:\windows\system\backs.bat

:c:\windows\wywtem\myusa.dvr

C:\Progra~1\mainsoft\install.exe

c:\windows\debug下的可疑文件

c:\Progra`1\shengda

c:\Progra`1\kugou2010

c:\Progra`1下的可疑文件

c:\windows\system\mainfos.exe

c:\\windows\\system\\upslist.txt

注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BGClients

WMI

fuckyoumm2_cunsumer

fuckyoumm_cunsumer

 

3. SQL Server使用强密码;

4.深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:

22.png 

 

5.深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀。

64位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接:

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

6.使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

 

IOC

URL

http://54.255.141.50/wpd/kill.html

http://74.222.14.61/wpd/kill.html

http://192.187.111.66/wpd/test.html

http://54.255.141.50/wpd/wpd.txt

http://208.51.63.150/wpd/test.html

http://down.mys2018.xyz:280/psa.jpg

http://223.25.247.240/ok/ups.html

http://js.mys2018.xyz:280/v.sct

http://www.cyg2016.xyz:8888/clr.txt

http://66.117.6.174/ups.rar

http://174.128.248.10/ok.exe

 


本文作者:Further_eye

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/105399.html

Tags:
评论  (1)
快来写下你的想法吧!
  • 王业恒 2019-12-14 12:38:53

    感谢大佬!最近我也被这个病毒搞了,,都怪学校要学sql,一定要弄弱密码。。
    我这里注册表发现的位置不一样,我是HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\BGClients
    里面也是cmd /c start /min c:\windows\system32\wbem\123.bat,这个病毒真的恶心

Further_eye

文章数:319 积分: 2105

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号