[聚合文章] 中国恶意软件三重奏：全面针对MSSQL与MySQL服务器

E安全12月21日讯 以色列安全公司GuardiCore近日发布报告称，某神秘中国黑客组织在过去一年当中持续针对Windows与Linux系统上的MSSQL与MySQL数据库发起攻击，其利用庞大的基础设施扫描易受攻击的目标主机，进而发动攻击并托管恶意软件。该组织采用广泛的基础设施与相关性较低的恶意软件方案，使得安全人员至今未能将该组织与其分散的攻击活动联系起来。最近，该组织部署的三种不同设计特性的恶意软件（针对不同目标）被安全公司GuardiCore联系起来。

神秘中国黑客组织相关分析

GuardiCore公司昨天发布报告称，该公司研究人员在经过数月的追踪之后发现，这个神秘的黑客组织的恶意行为主要分为三个活动，且每个活动都对应一种新的恶意软件。

恶意软件Hex、Taylor、Hanako：

• 第一波攻击指向运行有MSSQL数据库的Windows服务器，攻击者在这里部署一款名为Hex的恶意软件——其在本质上属于远程访问木马（简称RAT）与加密货币采矿木马。

• 第二波攻击则指向运行在Windows服务器上的MSSQL数据库，这一次攻击者们转而采用名为Taylor的恶意软件，其负责充当键盘记录器外加后门。

• 第三波攻击更为多样化，旨在扫描Windows与Linux服务器上运行的MYSQL与MySQL数据库。在此类攻击中，黑客们安装了一款名为Hanako的恶意软件，这是一款专门用于发动DDoS攻击的木马程序。

攻击者非常谨慎地掩盖网络活动

该神秘黑客组织利用已被感染的服务器扫描少量IP地址，并借此查找其它使用低强度登录凭证的数据库服务器，从而完成对易受攻击服务器的入侵。

黑客们非常小心地将扫描行为限制在少量IP地址范围之内，这样受感染主机就会扫描大量其它服务器; 此外，他们还利用受感染主机执行扫描操作，从而避免中央命令与控制（C&C）基础设施被其安全保护方所发现。

该组织还在恶意软件之间任意切换，时而结合使用，这意味着每次攻击会产生约300个独特的恶意软件二进制文件。此外，他们还不断轮换C&C服务器与域名，这种作法在国家支持型黑客活动中较为常见。

攻击者追击云基础设施

根据GuardiCore方面的介绍，神秘黑客组织对微软Azure以及亚马逊AWS公有IP范围进行扫描，希望借此发现采用低强度凭证且负责存储敏感信息的企业云服务器。

黑客们集中精力确保自身回避先进安全产品的扫描的同时，其攻击活动仍影响到数以万计的服务器。今年3月发布的Taylor恶意软件所涉及的服务器就超过8万台。Taylor的取名源自研究人员们在一台C&C服务器上所发现的美国歌手Taylor Swift的照片。在此之前，由于整个攻击流程非常隐蔽，卡巴斯基方面曾于今年2月将Taylor误认为是Mirai恶意软件的Windows变种版本。

GuardiCore公司将研究这些攻击活动的过程描述为“一种类似于密室逃脱般的，一环扣一环的追踪体验”。研究工作非常复杂，在这种情况下，逃脱挑战困扰了研究人员们近一年时间，但CuardiCore公司最终能够对攻击者的可能位置作出判断。

大部分网络攻击受害者位于中国

研究人员们指出，“代码当中经常出现中文注释，并且有充分的证据表明该黑客组织来自中国。大部分受害者也集中在中国。另外，Hex的恶意软件（RAT木马）还将自身伪装为流行的中文程序，且配置文件所列出的电子邮件地址（免费的）也源自各大中国服务商。”

目前，MSSQL与MySQL服务器的拥有者们应确保其数据库帐户使用可靠密码，配备可阻止暴力攻击的防火墙，同时还应检查其系统是否存在以下数据库管理员帐户——攻击者会利用这些帐户在受感染的系统上创建后门。

• hanako

• kisadminnew1

• 401hk$

• guest

• Huazhongdiguo110

今年早些时候，GuardiCore方面还发现了BondNet，这是一套由超过15000台Windows Server设备构成的僵尸网络，专门用于加密货币采矿。研究人员们认为BondNet同样源自中国。
E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。