新型木马使用 SQL 服务器隐藏恶意通信

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

IBM发现银行木马MnuBot利用微软SQL服务器作为命令和控制服务器。

MnuBot 使用 SQL 服务器和僵尸进行通信并将命令发送给受感染机器。该木马具有两个组件，各负责攻击流两个阶段的不同方面。

创建新桌面实施感染

在攻击流的起始阶段，MnuBot 从 %AppData%Roaming 文件夹中搜索名为 “Desk.txt” 的文件。这个文件能让 MnuBot 获知目前运行的是哪个桌面，且如果这个文件存在，那么木马就知道自己在新桌面上运行，因此不会做出任何行动。反之，如果文件不存在，那么 MnuBot 就会创建文件以及一个新桌面，虽然将用户工作空间变为新桌面，和合法的用户桌面一起运行。

在新创建的桌面上，MnuBot 不断检查前端窗口名称，而它如果发现名称和配置中的某个银行名称一致，那么它就会在服务器中查询和该名称对应的第二阶段的可执行文件。

这个可执行文件被存储在 C:\Users\Public\Neon.exe 中，实际上是一个远程访问木马，能让攻击者完全控制目标机器。IBM 解释称，它还包含 MnuBot 独有的功能。

提取配置实施攻击

感染阶段完成后，MnuBot 连接到命令和控制服务器提取初始配置。必要的 SQL 服务器详情如服务器地址、端口、用户名和密码都以加密形式硬编码到 MnuBot 中（在初始化连接前动态解密）。

配置中的字符串包括恶意软件应该执行的查询、实施交互的命令和文件以及目标银行网站。如果配置缺失，MnuBot 会关闭，也就是说它不会在受感染设备上执行恶意活动。

攻击者能够通过直接修改服务器上的配置更改 MnuBot 的恶意活动，而且还能阻止研究人员在拿下服务器后对恶意软件样本行为实施逆向工程。

用户打开目标网站的网页后，第二阶段的 payload 向攻击者直接从受害者机器上提供和银行网站的开放会话。

MnuBot 能让攻击者创建浏览器和桌面截屏、记录按键、模仿用户点击、存储受感染机器中的截屏 bmp 图像，并存储输入插入命令中所要求的输入。

MnuBot 通过全屏覆盖的形式阻止用户访问合法银行网站并诱骗用户披露敏感数据。MnuBot 的作者在后台控制系统并试图通过已经开放的银行会话执行非法交易。

攻击者还通过另外一种覆盖形式要求用户提供额外详情。在第二个阶段所下载的可执行文件包含攻击者实施恶意操作的相关社工表单。

MnuBot 针对巴西用户发动攻击，它很好地说明了恶意作者在不断尝试改进规避常规反病毒检测。在这个案例中，他们试图通过看似无害的微软 SQL 流量隐藏恶意网络通信。

https://www.securityweek.com/new-trojan-uses-sql-server-cc