殭屍網路盯上微軟,駭客用 MS-SQL 資料程式庫挖礦近兩年,每天攻擊近 3 千個資料庫

作者 | 發布日期 2020 年 04 月 13 日 7:45 | 分類 Microsoft , 網路 , 資訊安全 line share follow us in feedly line share
殭屍網路盯上微軟,駭客用 MS-SQL 資料程式庫挖礦近兩年,每天攻擊近 3 千個資料庫


日前微軟宣布聯合 35 國摧毀全球最大殭屍網路之一 Necurs,最近微軟卻爆出被殭屍網路 Vollgar 盯上近兩年。

殭屍網路 Vollgar 入侵微軟近兩年,每天攻擊近 3 千個資料庫

近日,Guardicore Labs 團隊發表長期攻擊活動的分析報告,主要針對執行 MS-SQL 服務的 Windows 系統。分析報告稱,此攻擊活動至少從 2018 年 5 月開始,將近兩年,一系列攻擊命名為「Vollgar」。

Vollgar 攻擊首先在 MS-SQL 伺服器暴力登入嘗試,成功後,允許攻擊者執行許多規格變更以執行惡意 MS-SQL 指令,並下載惡意軟體二進位檔案。

惡意軟體透過暴力破解技術成功獲得控制權後,使用這些資料庫挖礦加密貨幣。目前,正在開採的加密貨幣是 V-Dimension(Vollar)和 Monero(門羅幣)。

Vollgar 背後的攻擊者還為 MS-SQL 資料庫及具較高權限的作業系統建立新後門帳號。

初始設定完成後,攻擊會繼續建立下載器程式檔(兩個 VBScript 和一個 FTP 程式檔),這些程式檔將「多次」執行,每次在區域檔案系統使用不同目標位置,避免被發現。

其中一個名為 SQLAGENTIDC.exe / SQLAGENTVDC.exe 的初始有效負載會先殺死一長串程式,目的是確保最大數量的系統資源,消除其他威脅參與者的活動,並從受感染的電腦移除其他參與者。

61% 電腦僅感染 2 天或更短時間,21% 電腦感染 7~14 天,其中 17.1% 電腦受到重複感染。後一種情況可能是由於缺乏適當的安全措施,導致首次感染伺服器時無法徹底消除惡意軟體。

報告稱,每天有 2,000~3,000 個資料庫在 Vollgar 攻擊活動時攻陷,包括中國、印度、南韓、土耳其和美國等國家,受影響的產業涵蓋醫療、航空、IT、電信、教育等多個領域。

除了消耗 CPU 資源挖礦,這些資料庫伺服器吸引攻擊者的原因還在大量資料。這些機器可能儲存個資,如用戶名、密碼、信用卡號等,這些資訊僅需簡單的暴力就可落入攻擊者手中。

有點可怕。

如何偵查?

那麼,有沒有什麼辦法能抵禦攻擊呢?

為了幫助感染者,Guardicore Labs 提供 PowerShell 自查程式檔 Script:detect_vollgar.ps1,可偵測區域攻擊痕跡,偵測內容如下:

  1. 檔案系統的惡意 payload。
  2. 惡意服務程式工作名。
  3. 後門用戶名。

同時,程式庫還提供程式檔執行指南和行動建議,包括:

  • 立即隔離受感染的電腦,並阻止存取網路其他資產。
  • 將所有 MS-SQL 用戶帳戶密碼變更為強密碼,避免被此攻擊或其他暴力攻擊再次感染。
  • 關閉資料庫帳號登入方式,以 Windows 身分驗證登入資料庫,並在 Windows 策略設定密碼強度。
  • 加強網路邊界入侵防範管理,在網路出進入點設定防火牆等網路安全裝置,對不必要的通訊予以阻斷。
  • 對暴露於網路的網路裝置、伺服器、作業系統和應用系統進行安全檢查,包括但不限漏洞掃描、木馬監測、規格核查、WEB 漏洞偵測、網站滲透測試等。
  • 加強安全管理,建立網路安全應急處置機制,啟用網路和執行日誌稽核,安排網路值守,做好監測措施,及時發現攻擊風險,及時處理。

(本文由 雷鋒網 授權轉載;首圖來源:shutterstock)