【快訊】

根據“火絨威脅情報系統”監測，近日，火絨工程師發現多起駭客入侵企業伺服器後下載並執行後門病毒的威脅事件。目前，火絨相關防護功能可攔截該攻擊，並能掃描查殺該後門病毒。但同時，我們透過排查相關威脅資訊發現，上述後門病毒從去年8月份開始，影響範圍明顯擴大，不排除後續駭客還會嘗試其它滲透方式達到入侵的目的。

火絨查殺圖

火絨攔截圖

火絨工程師溯源發現，駭客透過弱口令等方式入侵伺服器後，然後透過SQL Server等服務啟動cmd.exe來執行powershell指令碼，最終下載執行上述後門病毒程式。而該後門病毒疑似為Quasar RAT的變種（一款國外開源遠控工具），具備了下載、執行、上傳、資訊獲取與記錄等常見的遠端控制功能，對使用者特別是企業單位具備嚴重安全威脅。

無獨有偶，就在今年2月初，火絨曾釋出報告披露多起駭客入侵伺服器投放勒索病毒的事件（《留意火絨安全日誌！一條勒索病毒攻擊鏈正在持續更新和入侵》）。對此，火絨再次提醒廣大使用者，尤其是企業伺服器管理人員，及時部署安全軟體，並定時檢視安全日誌，對伺服器進行加固，避免遭遇上述駭客、病毒攻擊。火絨使用者如發現異常日誌記錄，可隨時聯絡我們進行排查。

附：【分析報告】

一、 詳細分析

近期，火絨終端威脅情報系統監測到多起駭客入侵伺服器後透過執行powershell指令碼來下載執行後門病毒的事件。透過查詢近一年的相關威脅資訊後，我們得到該後門病毒的傳播趨勢如下圖所示：

傳播趨勢

經程式碼分析對比，我們推測該後門病毒是由駭客修改Quasar RAT而來。Quasar RAT是國外一款開源的遠控工具，具有下載、執行、上傳、資訊獲取與記錄等常見的遠端控制功能。由於我們不排除後續駭客採用更高威脅的滲透方法及後門模組進行攻擊與控制的可能性，所以伺服器管理人員應當定期審查系統安全日誌，及時發現系統的安全風險並對此進行加固升級。相關入侵流程如下圖所示：

入侵流程圖

駭客成功入侵伺服器後，利用SQL Server等服務啟動cmd.exe來下載執行powershell指令碼z。當指令碼z執行後，會透過62.60.134.103或170.80.23.121下載執行惡意指令碼ps1.bmp並拼接好ps2.bmp的下載路徑。相關程式碼如下圖所示：

指令碼z相關程式碼

ps1.bmp是混淆後的powershell指令碼，當它執行後會下載ps2.bmp到記憶體並將其解密執行。ps2.bmp實則就是加密後的後門模組。相關程式碼如下圖所示：

指令碼ps1.bmp相關程式碼

解密完成後的ps2.bmp為C#編寫的後門模組。當它執行後會隨機與C&C伺服器（23.228.109.230、www.hyn0hbhhz8.cf、www.ebv5hbhha8.cf、104.149.131.245）進行通訊，獲取並執行後門指令。連線C&C伺服器相關程式碼如下圖所示：

連線C&C伺服器

接收、執行後門指令相關程式碼如下圖所示：

接收、執行後門指令

二、 溯源分析

經分析發現，我們推測該後門模組是由病毒作者修改Quasar RAT（github連結: hxxps://github.com/mirkoBastianini/Quasar-RAT）而來。遠控功能程式碼對比如下圖所示：

該後門遠控功能與Quasar RAT對比

三、 附錄

病毒hash