僵尸網(wǎng)絡(luò)入侵微軟近兩年:每天攻擊近3000個數(shù)據(jù)庫、挖礦牟利
前不久,微軟剛剛宣布聯(lián)合 35 個國家摧毀了全球最大的僵尸網(wǎng)絡(luò)之一 Necurs,最近,微軟卻被僵尸網(wǎng)絡(luò) Vollgar 盯上近兩年。
僵尸網(wǎng)絡(luò) Vollgar 入侵微軟近兩年,每天攻擊近 3000個數(shù)據(jù)庫
近日,Guardicore Labs 團(tuán)隊(duì)發(fā)布了一份長期攻擊活動的分析報(bào)告,此攻擊活動主要針對運(yùn)行 MS-SQL 服務(wù)的 Windows 系統(tǒng)。分析報(bào)告稱,此攻擊活動至少從 2018 年 5 月開始,將近兩年,這一系列的攻擊活動被命名為“ Vollgar ”。
Vollgar 攻擊首先在 MS-SQL 服務(wù)器上進(jìn)行暴力登錄嘗試,成功后,允許攻擊者執(zhí)行許多配置更改以運(yùn)行惡意 MS-SQL 命令并下載惡意軟件二進(jìn)制文件。
該惡意軟件通過暴力破解技術(shù)成功獲得控制權(quán)后,便使用這些數(shù)據(jù)庫來挖掘加密貨幣。當(dāng)前,正在開采的加密貨幣是 V-Dimension(Vollar)和 Monero(門羅幣)。
此外,Vollgar 背后的攻擊者還為 MS-SQL 數(shù)據(jù)庫以及具有較高特權(quán)的操作系統(tǒng)創(chuàng)建了新的后門賬戶。
初始設(shè)置完成后,攻擊會繼續(xù)創(chuàng)建下載器腳本(兩個 VBScript 和一個 FTP 腳本),這些腳本將“多次”執(zhí)行,每次在本地文件系統(tǒng)上使用不同的目標(biāo)位置來避免可被發(fā)現(xiàn)。
其中一個名為 SQLAGENTIDC.exe/SQLAGENTVDC.exe 的初始有效負(fù)載首先會殺死一長串進(jìn)程,目的是確保最大數(shù)量的系統(tǒng)資源,消除其他威脅參與者的活動,并從受感染的計(jì)算機(jī)中刪除它們的存在。
值得注意的是,61% 的計(jì)算機(jī)僅感染了 2 天或更短的時間,21% 的計(jì)算機(jī)感染了 7-14 天以上,其中 17.1% 的計(jì)算機(jī)受到了重復(fù)感染。后一種情況可能是由于缺乏適當(dāng)?shù)陌踩胧┒鴮?dǎo)致在首次感染服務(wù)器時無法徹底消除該惡意軟件。
報(bào)告中稱,每天有 2-3 千個數(shù)據(jù)庫在 Vollgar 攻擊活動中被攻陷,其中包括中國、印度、韓國、土耳其和美國等國家,受影響的行業(yè)涵蓋醫(yī)療、航空、IT、電信、教育等多個領(lǐng)域。
除了消耗 CPU 資源挖礦之外,這些數(shù)據(jù)庫服務(wù)器吸引攻擊者的原因還在于它們擁有的大量數(shù)據(jù)。這些機(jī)器可能存儲個人信息,例如用戶名、密碼、信用卡號等,這些信息僅需簡單的暴力就可以落入攻擊者的手中。
有點(diǎn)可怕。
如何自查?
那么,有沒有什么辦法能提前抵御這種攻擊呢?
雷鋒網(wǎng)了解到,為了幫助感染者,Guardicore Labs 還提供了 PowerShell 自查腳本 Script - detect_vollgar.ps1,自查腳本 detect_vollgar.ps1 可實(shí)現(xiàn)本地攻擊痕跡檢測,檢測內(nèi)容如下:
1. 文件系統(tǒng)中的惡意 payload ;
2.惡意服務(wù)進(jìn)程任務(wù)名;
3. 后門用戶名。
附腳本下載鏈接:
https://github.com/guardicore/labs_campaigns/tree/master/Vollgar
同時,該庫還提供了腳本運(yùn)行指南和行動建議,其中包括:
立即隔離受感染的計(jì)算機(jī),并阻止其訪問網(wǎng)絡(luò)中的其他資產(chǎn)。
將所有 MS-SQL 用戶帳戶密碼更改為強(qiáng)密碼,以避免被此攻擊或其他暴力攻擊再次感染。
關(guān)閉數(shù)據(jù)庫賬號登錄方式,以 windows 身份驗(yàn)證方式登錄數(shù)據(jù)庫,并在 windows 策略里設(shè)置密碼強(qiáng)度。
加強(qiáng)網(wǎng)絡(luò)邊界入侵防范和管理,在網(wǎng)絡(luò)出入口設(shè)置防火墻等網(wǎng)絡(luò)安全設(shè)備,對不必要的通訊予以阻斷。
對暴露在互聯(lián)網(wǎng)上的網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行安全排查,包括但不限漏洞掃描、木馬監(jiān)測、配置核查、WEB 漏洞檢測、網(wǎng)站滲透測試等。
加強(qiáng)安全管理,建立網(wǎng)絡(luò)安全應(yīng)急處置機(jī)制,啟用網(wǎng)絡(luò)和運(yùn)行日志審計(jì),安排網(wǎng)絡(luò)值守,做好監(jiān)測措施,及時發(fā)現(xiàn)攻擊風(fēng)險,及時處理。