Vollgar僵尸网络每天成功感染约3k MSSQL DB服务器

Windows MSSQL恶意软件黑客攻击
网络安全研究人员今天发现了持续到2018年5月的恶意活动,该活动针对运行MS-SQL服务器的Windows计算机以部署后门和其他种类的恶意软件,包括多功能远程访问工具(RAT)和加密矿工。Guardicore Labs的研究人员以其开采的Vollar加密货币和其令人反感的“粗俗”作案手法 命名为“ Vollgar ”,该攻击利用密码暴力手段破坏了具有暴露于Internet的较弱凭据的Microsoft SQL服务器。 研究人员称,攻击者在过去几周中成功地每天成功感染了近2,000-3,000台数据库服务器,潜在的受害者分别来自中国,印度,美国,韩国和美国的医疗保健,航空,IT和电信以及高等教育部门。火鸡。
Windows MSSQL恶意软件黑客攻击
值得感谢的是,研究人员还发布了一个脚本,让系统管理员可以检测其任何Windows MS-SQL服务器是否已受到此特定威胁的威胁。

Vollgar攻击链:MS-SQL到系统恶意软件

Vollgar攻击始于在MS-SQL服务器上的强行登录尝试,成功后,它允许闯入者执行许多配置更改,以运行恶意MS-SQL命令并下载恶意软件二进制文件。 “攻击者[还]验证某些COM类可用-WbemScripting.SWbemLocator,Microsoft.Jet.OLEDB.4.0和Windows脚本宿主对象模型(wshom)。这些类支持WMI脚本编制和通过MS-SQL执行命令。后来用于下载初始恶意软件二进制文件。”研究人员说。
Windows MSSQL恶意软件黑客攻击
除了确保cmd.exe和ftp.exe可执行文件具有必要的执行权限外,Vollgar背后的操作员还为MS-SQL数据库以及具有较高特权的操作系统创建了新的后门用户。 初始设置完成后,攻击会继续创建下载器脚本(两个VBScript和一个FTP脚本),这些脚本将“多次”执行,每次在本地文件系统上使用不同的目标位置来避免可能的故障。 最初的有效载荷之一,名为SQLAGENTIDC.exe或SQLAGENTVDC.exe,首先着手杀死一长串进程,目的是确保最大数量的系统资源,并消除其他威胁参与者的活动并从中删除它们的存在。被感染的机器。 此外,它还充当不同RAT的投递器,以及基于XMRig的加密矿工,用于挖掘Monero和称为VDS或Vollar的替代硬币。

攻击受损系统上托管的攻击基础架构

Guardicore说,攻击者将整个基础设施都保存在受感染的计算机上,包括其位于中国的主要命令和控制服务器,具有讽刺意味的是,发现多个以上的攻击组织都对它们进行了攻击。 网络安全公司观察到:“(在C&C服务器上的)文件中是MS-SQL攻击工具,负责扫描IP范围,对目标数据库进行暴力破解并远程执行命令。” “此外,我们发现了两个带有中文GUI的CNC程序,一个用于修改文件的哈希值的工具,一个便携式HTTP文件服务器(HFS),Serv-U FTP服务器以及一个可执行文件mstsc.exe(Microsoft终端服务客户端),用于通过RDP与受害者建立联系。”
Windows MSSQL恶意软件黑客攻击
一旦受感染的Windows客户端对C2服务器执行ping命令,后者就会收到有关该计算机的各种详细信息,例如其公共IP,位置,操作系统版本,计算机名称和CPU型号。 Guardicore表示安装在中国服务器上的两个C2程序是由两个不同的供应商开发的,他们的远程控制功能存在相似之处,即下载文件,安装新的Windows服务,键盘记录,屏幕捕获,激活摄像头和麦克风。 ,甚至发起分布式拒绝服务(DDoS)攻击。

使用强密码来避免暴力攻击

该活动有大约五十万台运行MS-SQL数据库服务的计算机,这又表明攻击者正在追捕保护不佳的数据库服务器,以窃取敏感信息。必须使用强大的凭据保护暴露于Internet的MS-SQL服务器。 Guardicore研究人员总结说:“除了拥有宝贵的CPU功能之外,使这些数据库服务器吸引攻击者的原因还在于它们拥有的大量数据。” “这些机器可能存储个人信息,例如用户名,密码,信用卡号等,这些信息只需简单的暴力就可以落入攻击者的手中。”
0 0 vote
Article Rating

未经允许不得转载:x-sec » Vollgar僵尸网络每天成功感染约3k MSSQL DB服务器

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x