欢迎光临GGAMen游戏资讯




僵尸网络盯上微软,骇客用 MS-SQL 资料程式库挖矿近两年,每天攻击近 3 千个数据库

2024-12-25 206


日前微软宣布联合 35 国摧毁全球最大僵尸网络之一 Necurs,最近微软却爆出被僵尸网络 Vollgar 盯上近两年。

僵尸网络 Vollgar 入侵微软近两年,每天攻击近 3 千个数据库

近日,Guardicore Labs 团队发表长期攻击活动的分析报告,主要针对执行 MS-SQL 服务的 Windows 系统。分析报告称,此攻击活动至少从 2018 年 5 月开始,将近两年,一系列攻击命名为“Vollgar”。

Vollgar 攻击首先在 MS-SQL 服务器暴力登入尝试,成功后,允许攻击者执行许多规格变更以执行恶意 MS-SQL 指令,并下载恶意软件二进制档案。

恶意软件透过暴力破解技术成功获得控制权后,使用这些数据库挖矿加密货币。目前,正在开采的加密货币是 V-Dimension(Vollar)和 Monero(门罗币)。

Vollgar 背后的攻击者还为 MS-SQL 数据库及具较高权限的操作系统建立新后门账号。

初始设定完成后,攻击会继续建立下载器程式档(两个 VBScript 和一个 FTP 程式档),这些程式档将“多次”执行,每次在区域档案系统使用不同目标位置,避免被发现。

其中一个名为 SQLAGENTIDC.exe / SQLAGENTVDC.exe 的初始有效负载会先杀死一长串程式,目的是确保最大数量的系统资源,消除其他威胁参与者的活动,并从受感染的电脑移除其他参与者。

61% 电脑仅感染 2 天或更短时间,21% 电脑感染 7~14 天,其中 17.1% 电脑受到重复感染。后一种情况可能是由于缺乏适当的安全措施,导致首次感染服务器时无法彻底消除恶意软件。

报告称,每天有 2,000~3,000 个数据库在 Vollgar 攻击活动时攻陷,包括中国、印度、韩国、土耳其和美国等国家,受影响的产业涵盖医疗、航空、IT、电信、教育等多个领域。

除了消耗 CPU 资源挖矿,这些数据库服务器吸引攻击者的原因还在大量资料。这些机器可能储存个资,如用户名、密码、信用卡号等,这些资讯仅需简单的暴力就可落入攻击者手中。

有点可怕。

如何侦查?

那么,有没有什么办法能抵御攻击呢?

为了帮助感染者,Guardicore Labs 提供 PowerShell 自查程式档 Script:detect_vollgar.ps1,可侦测区域攻击痕迹,侦测内容如下:

  1. 档案系统的恶意 payload。
  2. 恶意服务程式工作名。
  3. 后门用户名。

同时,程式库还提供程式档执行指南和行动建议,包括:

  • 立即隔离受感染的电脑,并阻止存取网络其他资产。
  • 将所有 MS-SQL 用户账户密码变更为强密码,避免被此攻击或其他暴力攻击再次感染。
  • 关闭数据库账号登入方式,以 Windows 身份验证登入数据库,并在 Windows 策略设定密码强度。
  • 加强网络边界入侵防范管理,在网络出进入点设定防火墙等网络安全装置,对不必要的通讯予以阻断。
  • 对暴露于网络的网络装置、服务器、操作系统和应用系统进行安全检查,包括但不限漏洞扫描、木马监测、规格核查、WEB 漏洞侦测、网站渗透测试等。
  • 加强安全管理,建立网络安全应急处置机制,启用网络和执行日志稽核,安排网络值守,做好监测措施,及时发现攻击风险,及时处理。

(本文由 雷锋网 授权转载;首图来源:shutterstock)

2020-04-14 01:15:00

标签:   游戏头条 资讯头条 ggamen科技资讯 ggamen科技 ggamen科技资讯头条 科技资讯头条 ggamen游戏财经 新闻网 科技新闻网 科技新闻 科技新闻 科技新闻网 新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯头条 ggamen科技 ggamen科技资讯 资讯头条 游戏头条 ggamen 科技新闻 科技新闻网 新闻网 ggamen游戏财经 科技资讯头条 ggamen科技资讯头条 ggamen科技资讯 资讯头条 游戏头条
0