0x1概述

日前，腾讯御见恐吓情报中心感知到某诊所被入侵，但是被植入了挖矿木马。通过剖析发觉该诊所由于SQL服务器存在弱口令，被黑客爆破1433端口的方法成功入侵。入侵后，黑客借助写入下载命令触发下载恶意脚本，恶意脚本执行后会继续下载挖矿组件在被入侵的数据库服务器上进行门罗币挖矿操作。

对于被害医疗机构来说，仅仅挖矿算得上是害处最轻微的，被害企业只是服务器硬件资源被挖矿病毒消耗了。

入侵者已通过1433端口爆破完全控制这台SQL服务器，数据库中的数据可能已被泄露或存在泄漏的风险，也就是常说的被“拖库”，然后这种信息可能在黑市上交易。黑客还可以借助这台服务器去入侵局域网内其他笔记本，借助被控制的雏鸡笔记本发起ddos功击，或则干脆运行恐吓病毒，破坏服务器的数据，再恐吓钱财。

腾讯御见恐吓情报中心剖析发觉，这名入侵者已用同样的手法，入侵了多家单位超过300台服务器，全部被拿来挖矿。0x2入侵剖析通过剖析发觉，该诊所被入侵的缘由是，黑客借助1433端口批量爆破工具入侵诊所服务器，爆破成功后借助写入下载命令触发下载恶意脚本，恶意脚本执行后会继续下载挖矿组件进行挖矿。

（上海某连锁医疗机构）

1433端口SQL默认端口，用于供SQL对外提供服务。黑客们借助sa弱口令，通过密码字典进行猜解爆破登陆。因为一些管理员的安全意识薄弱，设置密码简单容易猜解，致使黑客常常能轻松步入服务器。

黑客1433端口爆破成功后，执行以下下载命令，以进行下一步的操作。

.exe/u/n/s/i:.dll

0x3样本剖析

下载的Kma.sct通过判定系统版本来分别进行下载木马以及储存路径。

下载后进行解压运行fix.exe。

fix.exe是正常程序，而且带有正规签名。并且fix.exe通过白+黑调用.dll。

该dll会去揭秘x.txt，揭秘的x.txt为矿机，但是在显存中加载执行：

（读取x.txt文件揭秘）

揭秘的矿机内容：

挖矿的配置文件：

0x4关联剖析对该入侵的C&C进行扩充，我们还发觉多家企业300余台服务器被黑客使用同样的方法入侵：

（某集团内部服务器）

（急速动力）

这次被入侵地分辨布，四川、北京、河北抢占前三：

0x5总结其实该诊所目前只是被入侵后进行了挖矿，暂未对该诊所引起太大的损失，而且绝不能忽略该次入侵。

不能排除黑客以这台已入侵的服务器为起点，继续在局域网内渗透，通过这台已被控制的服务器去功击入侵其他笔记本。

因而在局域网内传播更多恐吓病毒、挖矿病毒，进一步泄露绝密资料等后续行为，入侵者早已具有彻底破坏该诊所业务体系的能力。同时该诊所的服务器也可能会作为蛋鸭，继续成为黑客入侵其他机器的跳板，或则拿来对其他目标进行DDoS功击。

绝不能由于仅仅中了挖矿病毒，而放松对网路安全的管理。

0x6安全建议

腾讯御见安全专家针对这次黑客入侵，提供如下安全建议：

1.加固SQL服务器，修复服务器安全漏洞。使用安全的密码策略，使用高硬度密码，请勿使用弱口令，非常是sa帐号密码，避免黑客暴力破解。

2.更改SQLSever服务默认端口，在原始配置基础上修改默认1433端口设置，但是设置访问规则，拒绝1433端口侦测。

3.使用腾讯御知网路空间风险雷达（网址：）进行风险扫描和站点监控。

4.网站管理员可使用腾讯云网站管家智能防护平台（网址：），该系统具备Web入侵防护，0Day漏洞补丁修补等多经度防御策略，可全面保护网站系统安全。0x7:://a..tk/32f.zIP://a..tk/kma.sct://a..tk/64f.: