僵尸网络盯上微软,黑客用 MSSQL 数据库挖矿近两年,每天攻击近 3000 个数据库

栏目: IT技术 · 发布时间: 4年前

内容简介:前不久,微软刚刚宣布联合 35 个国家摧毁了全球最大的僵尸网络之一 Necurs,(详情参见雷锋网此前报道)最近,微软却被僵尸网络 Vollgar 盯上近两年。近日,Guardicore Labs 团队发布了一份长期攻击活动的分析报告,此攻击活动主要针对运行 MS-SQL 服务的 Windows 系统。分析报告称,此攻击活动至少从 2018 年 5 月开始,将近两年,这一系列的攻击活动被命名为“ Vollgar ”。Vollgar 攻击首先在 MS-SQL 服务器上进行暴力登录尝试,成功后,允许攻击者执行许

前不久,微软刚刚宣布联合 35 个国家摧毁了全球最大的僵尸网络之一 Necurs,(详情参见雷锋网此前报道)最近,微软却被僵尸网络 Vollgar 盯上近两年。

僵尸网络 Vollgar 入侵微软近两年,每天攻击近 3000个数据库

近日,Guardicore Labs 团队发布了一份长期攻击活动的分析报告,此攻击活动主要针对运行 MS-SQL 服务的 Windows 系统。分析报告称,此攻击活动至少从 2018 年 5 月开始,将近两年,这一系列的攻击活动被命名为“ Vollgar ”。

Vollgar 攻击首先在 MS-SQL 服务器上进行暴力登录尝试,成功后,允许攻击者执行许多配置更改以运行恶意 MS-SQL 命令并下载恶意软件二进制文件。

僵尸网络盯上微软,黑客用 MSSQL 数据库挖矿近两年,每天攻击近 3000 个数据库

该恶意软件通过暴力破解技术成功获得控制权后,便使用这些数据库来挖掘加密货币。当前,正在开采的加密货币是 V-Dimension(Vollar)和 Monero(门罗币)。

此外,Vollgar 背后的攻击者还为 MS-SQL 数据库以及具有较高特权的操作系统创建了新的后门账户。

初始设置完成后,攻击会继续创建下载器脚本(两个 VBScript 和一个 FTP 脚本),这些脚本将“多次”执行,每次在本地文件系统上使用不同的目标位置来避免可被发现。

其中一个名为 SQLAGENTIDC.exe/SQLAGENTVDC.exe 的初始有效负载首先会杀死一长串进程,目的是确保最大数量的系统资源,消除其他威胁参与者的活动,并从受感染的计算机中删除它们的存在。

值得注意的是,61% 的计算机仅感染了 2 天或更短的时间,21% 的计算机感染了 7-14 天以上,其中 17.1% 的计算机受到了重复感染。后一种情况可能是由于缺乏适当的安全措施而导致在首次感染服务器时无法彻底消除该恶意软件。

报告中称,每天有 2-3 千个数据库在 Vollgar 攻击活动中被攻陷,其中包括中国、印度、韩国、土耳其和美国等国家,受影响的行业涵盖医疗、航空、IT、电信、教育等多个领域。

僵尸网络盯上微软,黑客用 MSSQL 数据库挖矿近两年,每天攻击近 3000 个数据库

除了消耗 CPU 资源挖矿之外,这些数据库服务器吸引攻击者的原因还在于它们拥有的大量数据。这些机器可能存储个人信息,例如用户名、密码、信用卡号等,这些信息仅需简单的暴力就可以落入攻击者的手中。

有点可怕。

如何自查?

那么,有没有什么办法能提前抵御这种攻击呢?

雷锋网了解到,为了帮助感染者,Guardicore Labs 还提供了 PowerShell 自查脚本 Script - detect_vollgar.ps1,自查脚本 detect_vollgar.ps1 可实现本地攻击痕迹检测,检测内容如下:

1.     文件系统中的恶意 payload ;

2.     恶意服务进程任务名;

3.     后门用户名。

附脚本下载链接:

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

同时,该库还提供了脚本运行指南和行动建议,其中包括:

  • 立即隔离受感染的计算机,并阻止其访问网络中的其他资产。

  • 将所有 MS-SQL 用户帐户密码更改为强密码,以避免被此攻击或其他暴力攻击再次感染。

  • 关闭数据库账号登录方式,以 windows 身份验证方式登录数据库,并在 windows 策略里设置密码强度。

  • 加强网络边界入侵防范和管理,在网络出入口设置防火墙等网络安全设备,对不必要的通讯予以阻断。

  • 对暴露在互联网上的网络设备、服务器、操作系统和应用系统进行安全排查,包括但不限漏洞扫描、木马监测、配置核查、WEB 漏洞检测、网站渗透测试等。

  • 加强安全管理,建立网络安全应急处置机制,启用网络和运行日志审计,安排网络值守,做好监测措施,及时发现攻击风险,及时处理。

雷锋网雷锋网雷锋网 (公众号:雷锋网)

引用来源:

[1] https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/

[2] https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

雷锋网原创文章,未经授权禁止转载。详情见 转载须知


以上所述就是小编给大家介绍的《僵尸网络盯上微软,黑客用 MSSQL 数据库挖矿近两年,每天攻击近 3000 个数据库》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

颠覆医疗

颠覆医疗

[美]埃里克·托普 / 张南、魏薇、何雨师 / 译言·东西文库/电子工业出版社 / 2014-1-20 / 55.00

“创造性破坏”是奥地利经济学家约瑟夫·熊彼特最著名的理论,当一个产业在革新之时,都需要大规模地淘汰旧的技术与生产体系,并建立起新的生产体系。电器之于火器、汽车之于马车、个人计算机之于照排系统,都是一次又一次的“创造性破坏”,旧的体系完全不复存在,新的体系随之取代。 “创造性破坏”已经深深地改变了我们的生活,在这个数字时代,我们身边的一切都被“数字化”了。只有一处,也许是由于其本身的根深蒂固,......一起来看看 《颠覆医疗》 这本书的介绍吧!

SHA 加密
SHA 加密

SHA 加密工具

html转js在线工具
html转js在线工具

html转js在线工具

HSV CMYK 转换工具
HSV CMYK 转换工具

HSV CMYK互换工具