騰訊安全：又是SQL服務器爆破 黑產圈再現“吃獨食”挖礦團伙

近期，騰訊安全御見威脅情報中心監測發現，一起挖礦木馬與大灰狼遠控木馬“狼狽為奸”、結伴攻擊的事件。攻擊者首先會針對企業MS SQL服務器進行爆破攻擊，得手後利用多個提權工具進行提權，隨後植入挖礦木馬、大灰狼遠程控制木馬以及鍵盤記錄等惡意程序，在挖取門羅幣牟取鉅額非法收益的同時，竊取大量用戶個人隱私信息，企圖進一步作惡，以持續擴大攻擊收益。

目前，騰訊御點終端安全管理系統已全面攔截並查殺該作惡團伙。同時，騰訊安全技術專家提醒企業網管，數據庫服務器被不法黑客暴力破解會導致企業關鍵業務信息洩露，建議儘快安裝服務器漏洞補丁，並停止使用弱口令，以防作惡團伙攻擊。

（圖：騰訊御點終端安全管理系統）

經分析，該團伙不僅具備高超的攻擊手段，而且還開啟了“黑吃黑”模式。據騰訊安全技術專家介紹，該作惡團伙釋放病毒木馬的同時，還會封堵中招用戶系統的135、139、445等主要端口，以防被自身攻佔的系統再被其他黑產團伙入侵控制；而在控制資源挖礦期間，還會清除已被其他攻擊者控制的挖礦木馬，表現出明顯的貪婪特性。為此，騰訊安全將該團伙命名為“貪吃蛇”，並與其他黑產團伙進行區隔。

值得一提的是，利用MS SQL系統弱密碼攻擊是貪吃蛇團伙的主要手段，一旦爆破入侵成功，其還會利用提權漏洞採取進一步的攻擊行動，以便完全控制服務器。截至目前，“貪吃蛇”團伙木馬傳播整體呈現小幅爆發趨勢。

（圖：“貪吃蛇”挖礦團伙傳播趨勢）

作為一款老牌遠控工具，“大灰狼”時至今日仍備受黑產圈喜愛。據報道，目前該木馬原始作者已經離世，但相關代碼已流落黑產圈開源共享，不同的病毒木馬團伙對其定製改造後發佈了諸多變種。在此次攻擊案例中，“大灰狼”遠控採用更為隱祕的DNS隧道通信技術，直接繞過大部分軟件防火牆，然後利用帶有正規數字簽名白文件發動攻擊，往往令企業用戶防不勝防。

（圖：被盜用的正規數字簽名文件）

隨著黑產團伙技術手段不斷的進化，不管是對攻擊目標精挑細選，還是對技術手段不斷升級，黑產團伙的核心目的還是在於感染更多用戶電腦，攫取更高的收益。因此，如何抵禦黑產攻擊成為企業日常網絡安全建設工作的重中之重。

對此，騰訊安全反病毒實驗室負責人馬勁鬆表示，建議廣大企業網管加固SQL Server服務器，修補服務器安全漏洞，使用安全的密碼策略，防止不法黑客暴力破解；同時修改SQL Sever服務默認端口，在原始配置基礎上更改默認1433端口設置，並且設置訪問規則；推薦企業用戶可在服務器部署騰訊御點終端安全管理系統並及時更新安裝服務器補丁，防止相關病毒木馬利用windows提權漏洞發動攻擊。