过去几个月，GuardiCore 实验室对来自中国的犯罪组织发动的攻击活动进行了分析，攻击范围遍及全世界。攻击活动来源于大规模基础设施的相互配合，主要攻击对象是运行数据库服务的服务器。截至目前，已经发现三个攻击变种：Hex、Hanako和Taylor，每个变种针对不同的 SQL 服务器，有各自的目标、攻击范围和目标服务。本报告介绍了攻击者的基础设施、变种以及它们如何利用受害者获利并进行下一步活动。

攻击范围

最初的攻击是通过GuardiCore Global Sensor Network (GGSN)监控的服务器发现的，GGSN 是部署在全球多个数据中心的蜜罐服务器网络。通过查看传感器中的攻击日志，研究人员发现攻击从今年3月就开始了。攻击的发展速度特别快，一个夏天就发展为每天上千次针对MS SQL服务器和MySQL服务。攻击者用被黑的机器进行加密货币挖矿、DDOS攻击、植入远程访问木马（Remote Access Trojans，RAT）。

被黑的机器分布在中国、泰国、美国、日本等国家，大多数在中国。每个源机器只攻击很少的IP，这样就可以躲过检测。与Bondnet类似，受害者也会帮助攻击者，导致几乎无法追踪。攻击者会使用被黑的机器大约1个月的时间，之后轮流停用。

截至目前，研究人员发现从该基础设施发起的3起攻击活动，这些活动的攻击目标大多是不同的。Hex主要安装加密货币矿机和远程访问木马，Taylor主要安装keylogger和后门，Hanako会利用受害者建立DDOS僵尸网络。目前每个月可以监测到上百起的Hex和Hanako攻击，Taylor攻击最多，数量上万。

攻击基础设施

攻击者用受害者的机器进行不同的任务，被用来进行扫描、发起攻击、存放恶意可执行软件、作为C&C服务器。一般我们把用三个阶段来描述攻击：扫描、攻击和最初的植入。

扫描

用作扫描的机器负责扫描子网，创建IP和证书的hit lists。攻击者选择大范围的IP地址，然后寻找运行不同服务的机器，比如HTTP服务器，MS SQL服务器，ElasticSearch管理节点等等。

 

扫描的“hit list”示例

攻击

扫描器建立hit list之后，list就会发送给攻击者的机器，攻击者就会用在hit list上的服务器进行MS SQL和MySQL数据库暴力破解来建立落脚点。一旦立足，就会执行一系列预先定义好的SQL命令来获取受害机器的完全控制权。比如，创建新用户来获取永久访问权限，并且入侵审计日志。

文件服务器

攻击者会把一些文件比如RAT存放在不同的文件服务器上，确保他们的基础设施是模块化的，而且可以减少对每个服务器的依赖。这些服务器运行着FTP或HTTP文件服务器，而这些web服务器主要用来服务主机文件。

攻击者使用的HTTP文件服务器

Dropper运行后，攻击者用这些服务器下载其他的攻击工具。在Taylor攻击中，攻击者从down.mys2016.info和js.mys2016.info两个域名下载恶意文件。在其他的攻击变种 (Hex和Hanako)中，每个攻击的机器每次使用唯一的文件服务器，这会限制发送给受害机器的恶意流量。

攻击流分析

暴力破解和老的漏洞是攻击者常用的而且行之有效的手段。大多数针对MS SQL服务器，MySQL和其他主流服务的攻击都尝试用暴力破解作为入侵的手段。

许多MS SQL服务器的管理员除了使用密码外，不采用其他的手段来保护数据库。也就是说，攻击者入侵了SQL服务器后，有无数种方法可以执行恶意代码而不被发现——躲过审计。SQL服务器复杂引擎在2013年和2017年遭受大规模攻击，在许多单元中允许代码执行。

成功登录服务器后，攻击者用xp_cmshell来上传第一阶段的工具集，xp_cmshell是不同种类的存储的步骤和OLE automation。

GGSN记录的一些攻击者的步骤

攻击者使用了不同的dropper，通常dropper会创建后门用户并打开远程桌面端口，这就给攻击者建立了持久攻击的基础。下一阶段会从存活期很多的FTP或者HTTP服务器（被黑的主机）下载加密货币挖矿机，远程访问木马（RAT）或DDOS僵尸。

所有的攻击变种都会在数据库中创建后门用户来建立对数据库的持续访问。

创建SQL后门用户

在攻击的后期，攻击者会运行一些shell命令来关闭或停止反病毒和实时监控的应用。在最后一步，攻击者会用batch文件或者VB脚本来删除无用的注册表、文件和文件夹记录，达到隐藏踪迹的目的。

SQL攻击脚本的shell操作

恶意软件会用不同的方法来隐藏自己，包括用伪造的MFC用户接口和大小异常的二进制文件（一些文件大小超过100MB，含有大量的垃圾数据）。

Hex & Hanako

Hex和Hanako变种使用的是相同的MS SQL服务攻击流，使用了同样顺序的命令和参数。

Hex和Hanako变种会下载唯一的攻击配置文件，创建同样的计划任务来运行相同的唯一二进制文件。Kill的也是完全相同的反病毒产品，创建的后门用户也是相同的。

 Hex命名来自于Hex.exe的变种名称，有Hex8899.exe, HexServer.exe等。Hanako是创建的数据库后门用户名。

Hex用的木马是用C++编写的，引用了netsyst96.dll。通过keylogging、获取屏幕和麦克风的方式来从受害机器从提取信息，并且有下载和执行其他模块的功能。为了避免被检测到，netsyst96.dll会伪装成酷狗播放器，甚至含有全套功能的GUI。

Taylor

Taylor用来入侵服务器和获取持续权限的方式与Hex和Hanako是相同的。从2017年3月至今，GGSN已经检测到超过8万次来自该变种的攻击。

Taylor攻击与Hex和Hanako攻击在很多方面都是不同的，在成功登入SQL数据库后，攻击者用VMI方法从www.cyg2016.xyz/kill.html下载需要kill的进程名单。然后脚本会从另一个URL www.cyg2016.xyz/test.html下载恶意软件。另外，与2016年臭名昭著的Mirai攻击相关的后门是从js.mys2016.info下载的。最后，keylogger是从down.mys2016.info下载后，隐藏在Taylor Swift镜像中。

与Hex和Hanako攻击不同，Taylor用相同的域名，而是IP地址不频繁更换。Taylor攻击脚本非常谨慎，攻击者通过发送以hex编码的查询和以HTML页面的形式存储所有的服务器引用的方式来混淆恶意行为。

预防和解决方案

攻击的目标包括Windows和Linux系统的数据库服务。就目前情况来看，攻击者会入侵公有云和私有云应用，与特定域名无关。这从对Azure和AWS公共IP地址范围的频繁扫描就可以看出来。

攻击的应对听起来很简单，对服务器打补丁、使用强密码等等；但是实际操作中比理论要复杂得多。最好的办法是控制对数据库有访问权限的机器。经常检查对数据库有访问权限的设备清单，保持这个清单最小化，尤其要注意清单中直接通过互联网访问的机器。白名单策略，所有不在清单上的IP或域名对数据库的连接尝试都应该拦截并进行调查。

假设数据库被入侵，建议按照官方的数据库加固方法进行数据库加固。

MySQL数据库加固指南：http://dev.mysql.com/doc/refman/5.7/en/security-guidelines.html

微软数据库加固指南：http://docs.microsoft.com/en-us/sql/relational-databases/security/securing-sql-server

持续的威胁

最初的MS SQL服务器攻击让研究人员发现了一系列的恶意软件，恶意二进制文件的发现让研究人员发现了攻击基础设施。通过基础设施，发现了针对不同服务的多起攻击，而攻击者利用受害者主机进行加密货币挖矿、DDOS攻击、敏感信息窃取等。

大量证据表明，该攻击组织位于中国，代码中的中文注释就是证据。而且多数受害者位于中国大陆，木马 RAT 伪装成的应用也是国内比较流行的应用，配置文件的邮件地址也是国内邮件服务提供商。

IOCs

域名

cct119.com
down.mys2016.info
js.mys2016.info
js.mykings.top
www.cyg2016.xyz
hc58.msns.cn

文件和日志服务器

124.152.219.49
221.194.44.161
123.249.12.230
58.218.200.2
222.186.138.80
119.249.54.119
222.186.129.67
221.194.44.224
222.186.52.201
222.186.50.187
171.92.208.150
221.194.44.219
103.230.108.85
119.28.133.78
123.249.24.229
 222.186.10.245
 222.186.57.236
222.186.3.18
221.194.44.211
222.186.59.216
180.76.146.78
123.249.76.25
121.18.238.80
222.186.193.132
222.186.42.123
123.249.24.231
124.89.90.228
182.18.21.194
123.249.12.233
114.115.209.191
103.42.180.113
123.249.27.26

后门用户

hanako
kisadminnew1
401hk$
guest
Huazhongdiguo110