绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

栏目: 数据库 · SQL Server · 发布时间: 5年前

内容简介:背景概述近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破SQL Server服务器后,利用sqlserver Transact-SQL存储C#编译恶意代码,通过MSSQL作业定时执行存储过程,在受害主机下载恶意程序。排查过程

背景概述

近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破SQL Server服务器后,利用sqlserver Transact-SQL存储C#编译恶意代码,通过MSSQL作业定时执行存储过程,在受害主机下载恶意程序。

排查过程

排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

排查注册表启动项,存在一个BGClients,执行c:\windows\system32\wbem\123.bat,看起来十分可疑:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

查看123.bat的内容,其中比较关键的操作是创建了几个隐藏目录,并且通过RegSvr32/Scrobj.dll来执行远程SCT脚本:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

顺手逛一下查杀到恶意exe文件的目录,发现两个dvr后缀的文件,打开一看果不其然,包含了用于下载恶意文件的命令:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

启动项、注册表、WMI、进程、服务、计划任务都找了一圈,再没发现其他问题,于是把以上发现的问题项统统删除,结案!

那是不可能的。

cab.exe又出现了。

而且手动删掉的一堆乱七八糟全都回来了。

没辙了,只能放大招,通过安装监控,在恶意文件生成的时间节点附近排查监控日志。终于在恶意文件被实时监控拦截的时间节点发现了两条通过数据库进程执行了可疑的cmd命令日志,用于运行c:\windows\debug和c:\progra~1目录下的exe文件,由此推测数据库中存在恶意的执行计划:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

对数据库作业进行排查,果然存在一大堆奇怪的计划:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

逐条查看作业步骤,这功能丰富啊,由于内容过多,下面将部分作业对应的命令或功能整理出来:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

可以看到,上一次排查时发现的恶意文件、WMI、注册表等项都可以在表格中找到生成语句,并且还有一些没有排查到的文件,可能被防病毒软件识别清除了。这回可算是结案了吧,先对比作业中的语句将主机上可能存在的残留项都排查一遍,然后删除这些作业。

事情果然没有想象中那么简单,某一个风轻云淡的下午四点,cabs.exe又双叒叕回来了,堪称病毒界的灰太狼。

四点,这个时间点好像似曾相识,每次防病毒软件弹出查杀到cabs.exe的时间好像都是四点,监控日志中数据库进程执行了恶意cmd命令的时间也是四点,直觉告诉我们,SQL作业中肯定还有问题,于是把目光投向了上一次漏掉的数据库作业,在sqlrc中发现了一条执行存储过程的命令,运行一下:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

这不就是我们苦苦寻找的cabs.exe么!原来是隐藏在存储过程中,执行了ExecCode对象的内容:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

通过查询Transact-SQL中的项,发现执行的对象ExecCode:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

再通过对象名称查询sys.assembly_files表,找到ExecCode对应的content内容,从“4D5A”来看,这应该就是我们要找的目标:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

病毒文件分析

将十六进制数据拷贝出来转换为PE文件,是一个用C#编写的DLL文件,通过MyDownloadFile方法读取指定URL网页的内容:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

该URL的内容如下,也是两个下载链接以及对应保存的完整路径,其中ok.exe地址已失效,ups.rar就是我们发现的cabs.exe:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

MyDownloadFile方法的执行过程如下:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

下载的cabs.exe是一个下载器,会下载Mykings、Mirai、暗云、挖矿等多个恶意模块到受害主机,功能十分复杂:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

解决方案

1.删除SQL Server中的恶意作业和存储过程;

2.删除主机中存在的恶意程序、WMI、注册表项等,详见下表:

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

3. SQL Server使用强密码;

IOC

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势


以上所述就是小编给大家介绍的《绕过杀软!SQL Server Transact-SQL的无文件攻击姿势》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

The Ruby Programming Language

The Ruby Programming Language

David Flanagan、Yukihiro Matsumoto / O'Reilly Media, Inc. / 2008 / USD 39.99

Ruby has gained some attention through the popular Ruby on Rails web development framework, but the language alone is worthy of more consideration -- a lot more. This book offers a definition explanat......一起来看看 《The Ruby Programming Language》 这本书的介绍吧!

随机密码生成器
随机密码生成器

多种字符组合密码

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具