我們通過排查相關威脅信息發現，上述后門病毒從去年8月份開始，影響范圍明顯擴大，不排除后續黑客還會嘗試其它滲透方式達到入侵的目的。

火絨查殺圖

火絨攔截圖
工程師溯源發現，黑客通過弱口令等方式入侵服務器后，然后通過SQL Server等服務啟動cmd.exe來執行powershell腳本，最終下載運行上述后門病毒程序。而該后門病毒疑似為Quasar RAT的變種（一款國外開源遠控工具），具備了下載、執行、上傳、信息獲取與記錄等常見的遠程控制功能，對用戶特別是企業單位具備嚴重安全威脅。

在此提醒廣大用戶，尤其是企業服務器管理人員，及時部署安全軟件，并定時查看安全日志，對服務器進行加固，避免遭遇上述黑客、病毒攻擊。火絨用戶如發現異常日志記錄，可隨時聯系我們進行排查。

附：【分析報告】

一、 詳細分析

通過查詢近一年的相關威脅信息后，我們得到該后門病毒的傳播趨勢如下圖所示：

傳播趨勢

經代碼分析對比，我們推測該后門病毒是由黑客修改Quasar RAT而來。Quasar RAT是國外一款開源的遠控工具，具有下載、執行、上傳、信息獲取與記錄等常見的遠程控制功能。由于我們不排除后續黑客采用更高威脅的滲透方法及后門模塊進行攻擊與控制的可能性，所以服務器管理人員應當定期審查系統安全日志，及時發現系統的安全風險并對此進行加固升級。相關入侵流程如下圖所示：

入侵流程圖

黑客成功入侵服務器后，利用SQL Server等服務啟動cmd.exe來下載執行powershell腳本z。當腳本z執行后，會通過62.60.134.103或170.80.23.121下載執行惡意腳本ps1.bmp并拼接好ps2.bmp的下載路徑。相關代碼如下圖所示：

腳本z相關代碼

ps1.bmp是混淆后的powershell腳本，當它執行后會下載ps2.bmp到內存并將其解密執行。ps2.bmp實則就是加密后的后門模塊。相關代碼如下圖所示：

腳本ps1.bmp相關代碼

解密完成后的ps2.bmp為C#編寫的后門模塊。當它運行后會隨機與C&C服務器（23.228.109.230、www.hyn0hbhhz8.cf、www.ebv5hbhha8.cf、104.149.131.245）進行通信，獲取并執行后門指令。連接C&C服務器相關代碼如下圖所示：

連接C&C服務器

接收、執行后門指令相關代碼如下圖所示：

接收、執行后門指令

二、 溯源分析

經分析發現，我們推測該后門模塊是由病毒作者修改Quasar RAT（github鏈接: hxxps://github.com/mirkoBastianini/Quasar-RAT）而來。遠控功能代碼對比如下圖所示：

該后門遠控功能與Quasar RAT對比

福利時刻

接下是就是給到我們想學網絡安全的朋友：

安全學習資料包（滲透工具/網絡安全技術文檔、書籍/最新大廠面試題/應急響應筆記/學習路線）等等
庫看小可愛手指的地方
【點擊領取資料包】

總結

以上是生活随笔為你收集整理的管理员请注意 一条后门病毒攻击链正在针对服务器发起入侵的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。