绕过杀软!SQL Server Transact-SQL的无文件进击姿态 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

申博_安全防护 申博 97次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

配景概述

近日,深佩服平安团队捕获到一同绕过杀毒软件的无文件进击事宜,被入侵的主机或效劳器会被装置Mykings、Mirai、暗云等多种僵尸收集木马及挖矿顺序,并且难以彻底清除。经剖析排查,该木马经由历程弱口令爆破SQL Server效劳器后,应用sqlserver Transact-SQL存储C#编译歹意代码,经由历程MSSQL功课准时实行存储历程,在受益主机下载歹意顺序。

排查历程

排查主机上的歹意文件、启动项等,发明实行歹意剧本的WMI,功用是下载文件到当地实行:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

 

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

排查注册表启动项,存在一个BGClients,实行c:\windows\system32\wbem\123.bat,看起来非常可疑:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

检察123.bat的内容,个中对照症结的操纵是创建了几个隐蔽目次,并且经由历程RegSvr32/Scrobj.dll来实行长途SCT剧本:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

随手逛一下查杀到歹意exe文件的目次,发明两个dvr后缀的文件,翻开一看果不其然,包含了用于下载歹意文件的敕令:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

 

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

启动项、注册表、WMI、历程、效劳、设计任务都找了一圈,再没发明其他题目,因而把以上发明的题目项一切删除,了案!

那是不能够的。

cab.exe又涌现了。

并且手动删掉的一堆杂乱无章全都回来了。

没辙了,只能放大招,经由历程装置监控,在歹意文件天生的时候节点左近排查监控日记。终究在歹意文件被及时监控阻拦的时候节点发明了两条经由历程数据库历程实行了可疑的cmd敕令日记,用于运转c:\windows\debug和c:\progra~1目次下的exe文件,由此推想数据库中存在歹意的实行设计:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

 

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

对数据库功课举行排查,果真存在一大堆新鲜的设计:

APT34原型: Glimpse project

APT34 Glimpse project可能是截止目前研究人员最了解的的APT 34项目了。研究人员观察到基于文件的C2结构、VBS启动器、PowerShell Payload和dns引擎之上的秘密信道。 背景 从2014年开始,伊朗黑客组织APT34开始活跃,该组织执行了一系列针对伊朗的攻击活动。重要攻击目标位于中东地区,主要攻击金融、政府、能源、化工、电信和其他行业。 下面主要介绍Glimpse project,研究人员认为这可以认为是APT 34的原型。 Glimpse Project 该package中有一个名为Read me.txt的README文件。文件的内容是教授如何设置nodejs服务器和运行standalone .NET应用的Windows服务器来来控制受感染机器。感染首先是从一个名为runner_.vbs的VBS脚本的繁殖开始的,该脚本也是多数熟练的PowerShell payload的运行器。该Powershell payload是一个复杂的脚本,有许多功能。下图是反混淆的主循环: Glimpse感染Payload主循环 Payload会循环等待指令,一旦从C2服务器获得命令,就开始执行特定动作,并通过请求基于变量$aa_domain_bb伪造的子域名来响应C2。Payload实现的最重要的函数就是释放和执行其他工具集。事实上,payload是基于DNS 秘密信道的夹杂了其他控制功能的传播模块。 变量 $aa_domain_bb 含有C

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

逐条检察功课步调,这功用雄厚啊,因为内容过量,下面将局部功课对应的敕令或功用整理出来:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

能够看到,上一次排查时发明的歹意文件、WMI、注册表等项都能够在表格中找到天生语句,并且另有一些没有排查到的文件,能够被防病毒软件辨认清除。这回可算是了案了吧,先对照功课中的语句将主机上能够存在的残留项都排查一遍,然后删除这些功课。

事变果真没有设想中那末简朴,某一个风轻云淡的下昼四点,cabs.exe又双叒叕回来了,可谓病毒界的灰太狼。

四点,这个时候点彷佛素昧平生,每次防病毒软件弹出查杀到cabs.exe的时候彷佛都是四点,监控日记中数据库历程实行了歹意cmd敕令的时候也是四点,直觉通知我们,SQL功课中一定另有题目,因而把目光投向了上一次遗漏的数据库功课,在sqlrc中发明了一条实行存储历程的敕令,运转一下:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

这不就是我们苦苦寻觅的cabs.exe么!原来是隐蔽在存储历程当中,实行了ExecCode对象的内容:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

经由历程查询Transact-SQL中的项,发明实行的对象ExecCode:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

再经由历程对象称号查询sys.assembly_files表,找到ExecCode对应的content内容,从“4D5A”来看,这应当就是我们要找的目的:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

病毒文件剖析

将十六进制数据拷贝出来转换为PE文件,是一个用C#编写的DLL文件,经由历程MyDownloadFile要领读取指定URL网页的内容:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

该URL的内容以下,也是两个下载链接和对应生存的完全途径,个中ok.exe地点已失效,ups.rar就是我们发明的cabs.exe:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

MyDownloadFile要领的实行历程以下:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

下载的cabs.exe是一个下载器,会下载Mykings、Mirai、暗云、挖矿等多个歹意模块到受益主机,功用非常复杂:

绕过杀软!SQL Server Transact-SQL的无文件进击姿态

解决方案

1.删除SQL Server中的歹意功课和存储历程;

2.删除主机中存在的歹意顺序、WMI、注册表项等,详见下表:


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明绕过杀软!SQL Server Transact-SQL的无文件进击姿态
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址