僵尸网络盯上微软,黑客用 MSSQL 数据库挖矿近两年,每天攻击近 3000 个数据库

作者 : OO资源中心 发布时间: 2020-05-10 文章热度:289 共1415个字,阅读需4分钟。 本文内容有更新 字体:

目 录

僵尸网络 Vollgar 入侵微软近两年,每天攻击近 3000个数据库

近日,Guardicore Labs 团队发布了一份长期攻击活动的分析报告,此攻击活动主要针对运行 MS-SQL 服务的 Windows 系统。分析报告称,此攻击活动至少从 2018 年 5 月开始,将近两年,这一系列的攻击活动被命名为“ Vollgar ”。

Vollgar 攻击首先在 MS-SQL 服务器上进行暴力登录尝试,成功后,允许攻击者执行许多配置更改以运行恶意 MS-SQL 命令并下载恶意软件二进制文件。

僵尸网络盯上微软,黑客用 MSSQL 数据库挖矿近两年,每天攻击近 3000 个数据库-OO.INK资源网

该恶意软件通过暴力破解技术成功获得控制权后,便使用这些数据库来挖掘加密货币。当前,正在开采的加密货币是 V-Dimension(Vollar)和 Monero(门罗币)。

此外,Vollgar 背后的攻击者还为 MS-SQL 数据库以及具有较高特权的操作系统创建了新的后门账户。

初始设置完成后,攻击会继续创建下载器脚本(两个 VBScript 和一个 FTP 脚本),这些脚本将“多次”执行,每次在本地文件系统上使用不同的目标位置来避免可被发现。

其中一个名为 SQLAGENTIDC.exe/SQLAGENTVDC.exe 的初始有效负载首先会杀死一长串进程,目的是确保最大数量的系统资源,消除其他威胁参与者的活动,并从受感染的计算机中删除它们的存在。

值得注意的是,61% 的计算机仅感染了 2 天或更短的时间,21% 的计算机感染了 7-14 天以上,其中 17.1% 的计算机受到了重复感染。后一种情况可能是由于缺乏适当的安全措施而导致在首次感染服务器时无法彻底消除该恶意软件。

报告中称,每天有 2-3 千个数据库在 Vollgar 攻击活动中被攻陷,其中包括中国、印度、韩国、土耳其和美国等国家,受影响的行业涵盖医疗、航空、IT、电信、教育等多个领域。

僵尸网络盯上微软,黑客用 MSSQL 数据库挖矿近两年,每天攻击近 3000 个数据库-OO.INK资源网

除了消耗 CPU 资源挖矿之外,这些数据库服务器吸引攻击者的原因还在于它们拥有的大量数据。这些机器可能存储个人信息,例如用户名、密码、信用卡号等,这些信息仅需简单的暴力就可以落入攻击者的手中。

有点可怕。

如何自查?

那么,有没有什么办法能提前抵御这种攻击呢?

雷锋网了解到,为了帮助感染者,Guardicore Labs 还提供了 PowerShell 自查脚本 Script - detect_vollgar.ps1,自查脚本 detect_vollgar.ps1 可实现本地攻击痕迹检测,检测内容如下:

1.     文件系统中的恶意 payload ;

2.     恶意服务进程任务名;

3.     后门用户名。

附脚本下载链接:

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

同时,该库还提供了脚本运行指南和行动建议,其中包括:

  • 立即隔离受感染的计算机,并阻止其访问网络中的其他资产。
  • 将所有 MS-SQL 用户帐户密码更改为强密码,以避免被此攻击或其他暴力攻击再次感染。
  • 关闭数据库账号登录方式,以 windows 身份验证方式登录数据库,并在 windows 策略里设置密码强度。
  • 加强网络边界入侵防范和管理,在网络出入口设置防火墙等网络安全设备,对不必要的通讯予以阻断。
  • 对暴露在互联网上的网络设备、服务器、操作系统和应用系统进行安全排查,包括但不限漏洞扫描、木马监测、配置核查、WEB 漏洞检测、网站渗透测试等。
  • 加强安全管理,建立网络安全应急处置机制,启用网络和运行日志审计,安排网络值守,做好监测措施,及时发现攻击风险,及时处理。

常见问题FAQ

免费下载或者VIP会员专享资源能否直接商用?
本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
下载资源需要解压密码,解压密码是什么?
如下载的资源需要解压密码,请查看下载页右侧查找解压密码;
如没有解压密码请尝试默认解压密码:www.oo.ink 或者 oo.ink
或者联系我们获取解压密码!
1、本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
2、分享目的仅供大家学习和交流,请不要用于商业用途!
3、本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
4、如有链接无法下载、失效或广告,请联系管理员处理!
5、本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!

OO.INK资源网 » 僵尸网络盯上微软,黑客用 MSSQL 数据库挖矿近两年,每天攻击近 3000 个数据库
+已在风雨中度过
为兴趣而改变,为梦想而努力!
+已坚持更新
时时更新,确保最新~

开通SVIP,畅享全站资源下载~

立即了解