安基网 首页 资讯 安全报 查看内容

目标锁定SQL服务器|揭秘一场已持续2年的黑客攻击活动

2020-4-14 12:32| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,Guardicore实验室团队监测到了一场可追溯至2018年5月的黑客攻击活动。攻击链从暴力破解开始,最终阶段是在SQL服务器上部署后门并执行多个恶意模块,包括多功能远程访问工具(RAT)以及门罗币和Vollar加密货币挖矿脚本。基于不寻常的Vollar加密货币挖矿行为,Guardicore实验室团队将这场活动命名 ...


近日,Guardicore实验室团队监测到了一场可追溯至2018年5月的黑客攻击活动。攻击链从暴力破解开始,最终阶段是在SQL服务器上部署后门并执行多个恶意模块,包括多功能远程访问工具(RAT)以及门罗币和Vollar加密货币挖矿脚本。

基于不寻常的Vollar加密货币挖矿行为,Guardicore实验室团队将这场活动命名为“Vollgar”。据称,每天平均约有3000台服务器被感染,受害者来自各行各业,包括医疗保健、航空航天、IT、电信和高等教育等。

攻击链分析

如上所述,攻击链始于对MS-SQL的暴力破解。

在成功登录后,攻击者会对数据库进行一系列配置修改,以为后续执行命令做准备。

不仅如此,攻击者还会在MS-SQL数据库环境和操作系统环境中设置多个后门用户,以获得尽可能多的特权。

Guardicore实验室团队表示,他们共发现了10多种不同的后门,它们赋予了攻击者诸多能力,包括访问服务器、读取文件系统内容、修改注册表、下载或上传文件以及执行命令。

恶意有效载荷二进制文件通过三个独立的下载器脚本下载——两个通过HTTP下载的VBScript和一个FTP脚本。

初始有效载荷名为“SQLAGENTIDC.exe”或“SQLAGENTVDC.exe”,它首先会在一长串进程上运行taskkill,目的是清除可能已经存在的挖矿恶意软件,以获得更多的计算资源,这些进程包括Rnaphin.exe、xmr.exe和winxmr.exe等。

然后,有效载荷会将自身复制到用户的AppData文件夹下并再次执行复制。紧接着,它便会检查互联网连接,然后通过查询百度地图来获取受害者的IP和地理位置并将这些信息发送给CNC。

最后,它会将其他几个有效载荷下载到受感染的服务器上——几个RAT模块和一个挖矿脚本。根据Guardicore实验室团队的说法,挖矿脚本会同时挖掘门罗币和一种名为“VDS或Vollar”的加密货币。

其中,几个RAT模块提供了各种远程控制功能,包括下载文件、安装新的Windows服务、按键记录、截屏、运行交互式shell终端、激活摄像头和麦克风以及发起DDoS攻击等。

结语

正如你所看到的那样,这场黑客攻击活动的目标是暴露在互联网上的SQL服务器。因此,我们强烈建议不要将数据库服务器公开到互联网。相反,它们需要严格的白名单访问策略以及启用日志记录。

此外,将所有MS-SQL用户帐户密码更改为强密码也十分重要,这样做在很大程度上可以避免你的服务器成为暴力破解的牺牲品。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6811312705501135371/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
智慧彩票投注 彩票高賠率好平台 必发彩票计划群 彩宝彩票计划群 极速赛车登陆 澳门手机网投 快赢彩票 北京赛车怎么玩 澳门最有名彩票网站 极速赛车每天稳赚技巧