腾讯安全：又是SQL服务器爆破！黑产圈再现“吃独食”挖矿团伙

近期，腾讯安全御见威胁情报中心监测发现，一起挖矿木马与大灰狼远控木马“狼狈为奸”、结伴攻击的事件。攻击者首先会针对企业MS SQL服务器进行爆破攻击，得手后利用多个提权工具进行提权，随后植入挖矿木马、大灰狼远程控制木马以及键盘记录等恶意程序，在挖取门罗币牟取巨额非法收益的同时，窃取大量用户个人隐私信息，企图进一步作恶，以持续扩大攻击收益。

目前，腾讯御点终端安全管理系统已全面拦截并查杀该作恶团伙。同时，腾讯安全技术专家提醒企业网管，数据库服务器被不法黑客暴力破解会导致企业关键业务信息泄露，建议尽快安装服务器漏洞补丁，并停止使用弱口令，以防作恶团伙攻击。

（图：腾讯御点终端安全管理系统）

经分析，该团伙不仅具备高超的攻击手段，而且还开启了“黑吃黑”模式。据腾讯安全技术专家介绍，该作恶团伙释放病毒木马的同时，还会封堵中招用户系统的135、139、445等主要端口，以防被自身攻占的系统再被其他黑产团伙入侵控制；而在控制资源挖矿期间，还会清除已被其他攻击者控制的挖矿木马，表现出明显的贪婪特性。为此，腾讯安全将该团伙命名为“贪吃蛇”，并与其他黑产团伙进行区隔。

值得一提的是，利用MS SQL系统弱密码攻击是贪吃蛇团伙的主要手段，一旦爆破入侵成功，其还会利用提权漏洞采取进一步的攻击行动，以便完全控制服务器。截至目前，“贪吃蛇”团伙木马传播整体呈现小幅爆发趋势。

（图：“贪吃蛇”挖矿团伙传播趋势）

作为一款老牌远控工具，“大灰狼”时至今日仍备受黑产圈喜爱。据报道，目前该木马原始作者已经离世，但相关代码已流落黑产圈开源共享，不同的病毒木马团伙对其定制改造后发布了诸多变种。在此次攻击案例中，“大灰狼”远控采用更为隐秘的DNS隧道通信技术，直接绕过大部分软件防火墙，然后利用带有正规数字签名白文件发动攻击，往往令企业用户防不胜防。

（图：被盗用的正规数字签名文件）

随着黑产团伙技术手段不断的进化，不管是对攻击目标精挑细选，还是对技术手段不断升级，黑产团伙的核心目的还是在于感染更多用户电脑，攫取更高的收益。因此，如何抵御黑产攻击成为企业日常网络安全建设工作的重中之重。

对此，腾讯安全反病毒实验室负责人马劲松表示，建议广大企业网管加固SQL Server服务器，修补服务器安全漏洞，使用安全的密码策略，防止不法黑客暴力破解；同时修改SQL Sever服务默认端口，在原始配置基础上更改默认1433端口设置，并且设置访问规则；推荐企业用户可在服务器部署腾讯御点终端安全管理系统并及时更新安装服务器补丁，防止相关病毒木马利用windows提权漏洞发动攻击。