伊朗软件公司涉嫌入侵 SQL 服务器以挖掘加密货币

研究人员已经追踪了一场活动的源头-感染SQL服务器以挖掘加密货币-可以追溯到一家伊朗软件公司。

研究人员围绕着以前未发现的，针对面向互联网的数据库服务器的加密矿开采活动的来源做出了新发现。

这项名为MrbMiner于2020年9月被发现，它在数千台SQL服务器上下载并安装了一个cryptominer。现在，Sophos的研究人员已经追踪了这场运动的起源，他们声称这是一家位于伊朗的小型软件开发公司。

Sophos的研究人员在周四的分析中说：“一家伊朗软件公司的名称被硬编码到该矿工的主要配置文件中。” “此域已连接到许多其他zip文件，这些文件也包含矿工的副本。这些zip文件又是从其他域下载的，其中一个是mrbftp.xyz。”

研究人员说，他们的记录并未确切揭示该恶意软件如何在数据库服务器上立足。但是，他们指出MyKings SQL攻击僵尸网络或 Lemon_Duck 加密货币僵尸网络使用的技术是可能的。这两个僵尸网络都利用了系统中各种未修补的漏洞，同时还增加了一些其他感染媒介（包括Lemon Duck的远程桌密码暴力攻击）。

一旦下载到系统中，cryptominer有效负载和配置文件将被解压缩。Microsoft SQL Server（sqlservr.exe）进程首先启动一个名为assm.exe的文件，该文件是充当下载程序的特洛伊木马。然后，Assm.exe从Web服务器下载cryptominer有效负载，并连接到其命令和控制（C2）服务器，以报告矿工的成功下载和执行。

研究人员说：“在大多数情况下，有效负载是一个名为sys.dll的文件，尽管该文件的后缀为Windows DLL，但不是一个zip存档，其中包含加密矿工的二进制文件，配置文件和相关文件。”

链接

Sophos Labs威胁研究总监Gabor Szappanos说，虽然该攻击似乎是针对面向Internet服务器的大多数加密矿工攻击的典型特征，但与众不同的是，攻击者“似乎已经对隐藏其身份发出了谨慎的警告”。

研究人员发现了大量与该矿工的配置，其域和IP地址有关的记录，这些记录指向一个起源点：一家位于伊朗的（未命名）小型软件公司。例如，一个泄露的消息是，用于托管活动负载的服务器还托管了一个域名（vihansoft.ir），该域是与软件公司绑定的网站。

研究人员说：“我们在Persian-language地图网站neshan.org上找到了vihansoft.ir背后的业务参考。” “与Google Maps或Waze相似，Neshan将商业信息作为其地图服务的一部分，以及将vihansoft.ir作为其网站并指定其董事总经理的公司的条目。”

研究人员指出，居住在伊朗等受美国严格国际金融制裁的国家的人可能会在这里使用密码劫持，以绕过传统的银行系统。

服务器：有利的加密劫持目标

尽管许多攻击者使用其加密挖矿恶意软件来攻击计算机，但研究人员强调，数据库服务器是攻击者的诱人目标，因为它们用于资源密集型进程，因此具有强大的处理能力。

研究人员说，托管数据库的IT管理员需要显着的性能要求，包括处理大量数据读写的能力以及高水平的RAM和处理器开销以快速响应查询。

研究人员说：“因此，托管数据库的服务器在性能规模方面更为强大，这就是为什么它们成为攻击者的绝佳目标，这些攻击者的目标包括分发加密货币矿工。”

在过去的几年中，攻击者已经对此有所了解。2019年，作为一次备受瞩目的加密劫持活动的一部分，多达50,000台服务器被感染，据信这是由中文对手精心策划的。在2018年，MassMiner出现了以各种知名漏洞为目标的Windows服务器，所有漏洞都在一个可执行文件中-包括EternalBlue NSA黑客工具。