警惕：勒索软件正通过SQL Server 弱口令攻击服务器

攻击事件还原分析

攻击流程图：

勒索信：

1、通过对被攻击云主机的公网暴露面进行分析，该云主机安全组未做任何限制，同时绑定有公网IP；

2、通过对云主机上的应用进行分析,该云主机操作系统为：Windows Server 2012 R2，安装有ERP软件及SQL Server 2008等服务；

3、通过对C盘文件进行分析，发现C盘根目录下存在异常文件；

4、对文件生成时间附件的Windows登录日志进行分析，未发现有可疑IP登录成功的迹象，同时询问客户密码情况，基本排除通过Windows RDP爆破入侵；

5、对应用程序日志进行排查，未见异常访问日志，同时web应用目录下也未发现有webshell等木马文件；

6、经确认，SQL Server未对访问IP进行控制，在知道密码的情况下，可通过公网IP直接登录sa账号；

7、通过内置的Windows账号登录SQL Server服务器，查看SQL Server日志，发现大量登录失败日志，疑似sa账号被大量IP发起爆破，经过提取sa账号hash信息，通过公开解密渠道可获取到对应的密码，同时与用户确认，进一步确认该SQL Server服务器sa账号采用了弱密码；

8、其中日志中出现“clr enabled”及“show advanced options”，疑似开启公共语言运行时 (CLR) 集成功能，启用此功能后，可通过SQL Server执行代码。同时SQL Server 2008默认启用了xp_cmdshell功能，通过xp_cmdshell可以让系统管理员以cmd的方式执行给定的命令，并返回执行结果；

9、对.svcservice.exe文件进行分析发现，该文件会调用bcdedit关掉安全模式，然后卸载自身，再单独释放出一个bat和一个svchost.exe。bat主要用于删除系统备份；

10、对注册表进行分析，发现svcservice配置为在安全模式下也启动，存在进安全模式绕过防护软件释放svchost的情况，通过沙箱运行发现svchost会加密文件进行勒索，“how_to_decrypt.hta”即为攻击者留下的勒索信。

根据勒索信内容进行搜索，发现该勒索病毒为Trigona家族，该家族主要采用弱口令爆破等手段，入侵受害者主机进行勒索病毒投递，并添加启动项来进行持久化。

通过上述分析，可以确认，攻击者通过爆破公网的SQL Server 2008存在弱口令的sa账号，获取到SQL Server的管理权限，继而通过SQL Server的内置特性，修改启用项及注册表信息，使云主机主动进入安全模式，绕过安全防护，释放勒索病毒，加密用户数据。

安全建议

1.  检查端口开放情况，非必要请不要开放1433端口，如业务要求无法避免，务必通过加来源白名单的方式或其他安全手段处理。

2.  检测发现感染僵尸木马程序后，及时清除恶意样本，以彻底消除威胁。

3.  不定时检查时间查看器，如发现异常登录请求，第一时间阻断隔离。