僵屍網絡盯上微軟,黑客用 MSSQL 數據庫挖礦近兩年,每天攻擊近 3000 個數據庫

雷鋒網 於 07/04/2020 發表 收藏文章
前不久,微軟剛剛宣佈聯合 35 個國家摧毀了全球最大的僵屍網絡之一 Necurs,(詳情參見雷鋒網此前報道)最近,微軟卻被僵屍網絡 Vollgar 盯上近兩年。

僵屍網絡 Vollgar 入侵微軟近兩年,每天攻擊近 3000個數據庫

近日,Guardicore Labs 團隊發佈了一份長期攻擊活動的分析報告,此攻擊活動主要針對運行 MS-SQL 服務的 Windows 系統。分析報告稱,此攻擊活動至少從 2018 年 5 月開始,將近兩年,這一系列的攻擊活動被命名為“ Vollgar ”。
Vollgar 攻擊首先在 MS-SQL 服務器上進行暴力登錄嘗試,成功後,允許攻擊者執行許多配置更改以運行惡意 MS-SQL 命令並下載惡意軟件二進制文件。


該惡意軟件通過暴力破解技術成功獲得控制權後,便使用這些數據庫來挖掘加密貨幣。當前,正在開採的加密貨幣是 V-Dimension(Vollar)和 Monero(門羅幣)。

此外,Vollgar 背後的攻擊者還為 MS-SQL 數據庫以及具有較高特權的操作系統創建了新的後門賬户。

初始設置完成後,攻擊會繼續創建下載器腳本(兩個 VBScript 和一個 FTP 腳本),這些腳本將“多次”執行,每次在本地文件系統上使用不同的目標位置來避免可被發現。

其中一個名為 SQLAGENTIDC.exe/SQLAGENTVDC.exe 的初始有效負載首先會殺死一長串進程,目的是確保最大數量的系統資源,消除其他威脅參與者的活動,並從受感染的計算機中刪除它們的存在。

值得注意的是,61% 的計算機僅感染了 2 天或更短的時間,21% 的計算機感染了 7-14 天以上,其中 17.1% 的計算機受到了重複感染。後一種情況可能是由於缺乏適當的安全措施而導致在首次感染服務器時無法徹底消除該惡意軟件。

報告中稱,每天有 2-3 千個數據庫在 Vollgar 攻擊活動中被攻陷,其中包括中國、印度、韓國、土耳其和美國等國家,受影響的行業涵蓋醫療、航空、IT、電信、教育等多個領域。


除了消耗 CPU 資源挖礦之外,這些數據庫服務器吸引攻擊者的原因還在於它們擁有的大量數據。這些機器可能存儲個人信息,例如用户名、密碼、信用卡號等,這些信息僅需簡單的暴力就可以落入攻擊者的手中。

有點可怕。

如何自查?

那麼,有沒有什麼辦法能提前抵禦這種攻擊呢?

雷鋒網(公眾號:雷鋒網)了解到,為了幫助感染者,Guardicore Labs 還提供了 PowerShell 自查腳本 Script - detect_vollgar.ps1,自查腳本 detect_vollgar.ps1 可實現本地攻擊痕跡檢測,檢測內容如下:

1. 文件系統中的惡意 payload ;

2. 惡意服務進程任務名;

3. 後門用户名。

附腳本下載鏈接:

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

同時,該庫還提供了腳本運行指南和行動建議,其中包括:

  • 立即隔離受感染的計算機,並阻止其訪問網絡中的其他資產。
  • 將所有 MS-SQL 用户帳户密碼更改為強密碼,以避免被此攻擊或其他暴力攻擊再次感染。
  • 關閉數據庫賬號登錄方式,以 windows 身份驗證方式登錄數據庫,並在 windows 策略裏設置密碼強度。
  • 加強網絡邊界入侵防範和管理,在網絡出入口設置防火牆等網絡安全設備,對不必要的通訊予以阻斷。
  • 對暴露在互聯網上的網絡設備、服務器、操作系統和應用系統進行安全排查,包括但不限漏洞掃描、木馬監測、配置核查、WEB 漏洞檢測、網站滲透測試等。
  • 加強安全管理,建立網絡安全應急處置機制,啟用網絡和運行日誌審計,安排網絡值守,做好監測措施,及時發現攻擊風險,及時處理。

雷鋒網雷鋒網雷鋒網

引用來源:

[1]https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/

[2] https://github.com/guardicore/labs_campaigns/tree/master/Vollgar
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知


資料來源:雷鋒網
作者/編輯:劉琳

留言


請按此登錄後留言。未成為會員? 立即註冊
    快捷鍵:←
    快捷鍵:→