事件速覽
前不久,Microsoft還宣佈聯合35個國家摧毀了全球最大的殭屍網絡之一Necurs,而近段時間,據網絡安全團隊發佈的分析報告顯示,MS-SQL服務的Windows系統又被發現遭受殭屍網絡Vollgar入侵近兩年時間,日攻擊3000個數據庫。
影響範圍
研究人員稱,攻擊者在過去幾週中每天成功感染了近2000-3000臺存在MS-SQL弱口令的Windows系統,受害者分別來自中國、印度、美國、韓國和美國,受到影響的行業涵蓋醫療、航空、IT、電信及高等教育部門。除了挖礦之外,吸引攻擊者入侵的原因還在於這些服務器擁有的大量數據,例如用戶名、密碼、信用卡號等重要信息。
攻擊簡介
Vollgar 攻擊者首先在MS-SQL服務器上利用弱密碼的安全漏洞強行登錄。一旦登錄成功,攻擊者就可以執行許多配置更改以部署後門,隨即運行惡意命令並下載惡意軟件。
惡意軟件獲得控制權後,攻擊者便使用數據庫來挖掘加密貨幣。目前正在開採的加密貨幣是 V-Dimension(Vollar)和 Monero(門羅幣)。此外,Vollgar 背後的攻擊者還為 MS-SQL 數據庫以及具有較高特權的操作系統創建了新的後門賬戶。
初始設置完成後,攻擊會繼續創建下載器腳本(兩個VBScript和一個FTP腳本),這些腳本將“多次”執行,每次在本地文件系統上使用不同的目標位置來避免被發現可能性。
其中,一個名為
SQLAGENTIDC.exe/SQLAGENTVDC.exe 的初始有效負載首先會殺死一長串進程,目的是確保最大數量的系統資源,消除其他威脅參與者的活動,並從受感染的計算機中刪除它們的存在。
據統計,Vollgar攻擊源自120多個IP地址,60%的設備會在短時間內被Vollgar感染,20%的設備被感染週期長達數週,10%的設備在被襲擊情況下會再次感染。
措施建議
有沒有辦法能提前抵禦這種攻擊呢?答案是肯定的,為了幫助受感染者和潛在受害者,中科天齊提供瞭如下解決方案:
1、通過:
https://github.com/guardicore/labs_campaigns/tree/master/Vollgar下載自查腳本進行自查,如發現計算機受干擾,需立即隔離,阻止其訪問網絡中的其他資產。再移除探測自查結果中的攻擊痕跡並終止惡意程序;
2、將所有MS-SQL用戶帳戶密碼更改為強密碼,以避免被此攻擊或其他暴力攻擊再次感染;
3、採取主動性的預防措施來保護自己的數據庫。例如將數據庫與互聯網斷開,從而限制外部訪問;
4、實施基於複雜訪問的控制機制,該機制僅將需要訪問特定服務器的IP地址列入白名單,並限制登錄嘗試的次數以防止暴力破解。
拓展閱讀:什麼是“殭屍網絡”?
殭屍網絡,英文"botnet"(簡稱"機器人網絡")是由受惡意軟件感染的計算機組成的網絡,由一個名為"bot-herder"的攻擊方控制。每臺受bot-herder控制的機器被稱為機器人(bot)。從一箇中心點,攻擊方可以命令其殭屍網絡上的每臺計算機同時進行協調的犯罪行動。殭屍網絡的規模(許多由數百萬個機器人組成)使攻擊者能夠執行大規模的行動,這在以前的惡意軟件中是不可能的。由於殭屍網絡仍然處於遠程攻擊者的控制之下,受感染的機器可以動態地接收更新並改變它們的行為。因此,"bot-herder"往往能夠在黑市上租借進入殭屍網絡的權限,以獲得可觀的經濟收益。
