日前微软宣布联合 35 国摧毁全球最大僵尸网络之一 Necurs,最近微软却爆出被僵尸网络 Vollgar 盯上近两年。
僵尸网络 Vollgar 入侵微软近两年,每天攻击近 3 千个数据库
近日,Guardicore Labs 团队发表长期攻击活动的分析报告,主要针对执行 MS-SQL 服务的 Windows 系统。分析报告称,此攻击活动至少从 2018 年 5 月开始,将近两年,一系列攻击命名为“Vollgar”。
Vollgar 攻击首先在 MS-SQL 服务器暴力登入尝试,成功后,允许攻击者执行许多规格变更以执行恶意 MS-SQL 指令,并下载恶意软件二进制档案。
恶意软件透过暴力破解技术成功获得控制权后,使用这些数据库挖矿加密货币。目前,正在开采的加密货币是 V-Dimension(Vollar)和 Monero(门罗币)。
Vollgar 背后的攻击者还为 MS-SQL 数据库及具较高权限的操作系统建立新后门账号。
初始设定完成后,攻击会继续建立下载器程式档(两个 VBScript 和一个 FTP 程式档),这些程式档将“多次”执行,每次在区域档案系统使用不同目标位置,避免被发现。
其中一个名为 SQLAGENTIDC.exe / SQLAGENTVDC.exe 的初始有效负载会先杀死一长串程式,目的是确保最大数量的系统资源,消除其他威胁参与者的活动,并从受感染的电脑移除其他参与者。
61% 电脑仅感染 2 天或更短时间,21% 电脑感染 7~14 天,其中 17.1% 电脑受到重复感染。后一种情况可能是由于缺乏适当的安全措施,导致首次感染服务器时无法彻底消除恶意软件。
报告称,每天有 2,000~3,000 个数据库在 Vollgar 攻击活动时攻陷,包括中国、印度、韩国、土耳其和美国等国家,受影响的产业涵盖医疗、航空、IT、电信、教育等多个领域。
除了消耗 CPU 资源挖矿,这些数据库服务器吸引攻击者的原因还在大量资料。这些机器可能储存个资,如用户名、密码、信用卡号等,这些资讯仅需简单的暴力就可落入攻击者手中。
有点可怕。
如何侦查?
那么,有没有什么办法能抵御攻击呢?
为了帮助感染者,Guardicore Labs 提供 PowerShell 自查程式档 Script:detect_vollgar.ps1,可侦测区域攻击痕迹,侦测内容如下:
- 档案系统的恶意 payload。
- 恶意服务程式工作名。
- 后门用户名。
同时,程式库还提供程式档执行指南和行动建议,包括:
- 立即隔离受感染的电脑,并阻止存取网络其他资产。
- 将所有 MS-SQL 用户账户密码变更为强密码,避免被此攻击或其他暴力攻击再次感染。
- 关闭数据库账号登入方式,以 Windows 身份验证登入数据库,并在 Windows 策略设定密码强度。
- 加强网络边界入侵防范管理,在网络出进入点设定防火墙等网络安全装置,对不必要的通讯予以阻断。
- 对暴露于网络的网络装置、服务器、操作系统和应用系统进行安全检查,包括但不限漏洞扫描、木马监测、规格核查、WEB 漏洞侦测、网站渗透测试等。
- 加强安全管理,建立网络安全应急处置机制,启用网络和执行日志稽核,安排网络值守,做好监测措施,及时发现攻击风险,及时处理。
(本文由 雷锋网 授权转载;首图来源:shutterstock)