不久前,微软刚刚宣布联合35个国家摧毁了世界上最大的僵尸网络之一Necurs。(详见雷锋此前的报道。)最近微软被僵尸网络Vollgar盯上近两年。
近日,Guardicore Labs团队发布了一份长期攻击活动的分析报告,该报告主要针对运行MS-SQL服务的Windows系统。分析报告称,这一攻击至少始于2018年5月,将近两年,这一系列攻击被命名为“Vollgar”。
Vollgar攻击首先在MS-SQL服务器上进行暴力登录尝试。成功后,它允许攻击者进行许多配置更改,以运行恶意的MS-SQL命令并下载恶意的二进制文件。
该恶意软件通过暴力破解技术成功获得控制权后,利用这些数据库挖掘加密货币。目前正在开发的加密货币有V维(Vollar)和Monero(门罗币)。
此外,Vollgar背后的攻击者已经为MS-SQL数据库和操作系统创建了新的后门帐户,并具有更高的权限。
在初始设置后,攻击将继续创建下载程序脚本(两个VBScript和一个FTP脚本),这些脚本将被执行“多次”,每次都使用本地文件系统上的不同目标位置以避免被发现。
其中一个名为SQLAGENTIDC.exe/SQLAGENTVDC.exe,的初始有效载荷将首先杀死一长串进程,以确保最大限度地利用系统资源,消除其他威胁参与者的活动,并从受感染的计算机中删除它们的存在。
值得注意的是,61%的电脑感染时间仅为2天或更短,21%的电脑感染时间超过7-14天,其中17.1%的电脑反复感染。在后一种情况下,由于缺乏适当的安全措施,当服务器第一次被感染时,恶意软件不能被完全消除。
报告称,每天都有2-3,000个数据库在沃尔加攻击中被攻破,包括中国、印度、韩国、土耳其和美国,受影响的行业涵盖医疗、航空、IT、电信、教育等领域。
这些数据库服务器吸引攻击者的原因除了消耗CPU资源来挖矿之外,还在于其拥有的大量数据。这些机器可能存储个人信息,如用户名、密码、信用卡号等。用简单的暴力就能落入攻击者手中。
有点吓人。
那么,有什么办法可以提前防御这种攻击呢?
雷锋。com了解到,为了帮助感染者,Guardicore Labs还提供了PowerShell自查脚本Script-detect_vollgar.ps1,可以实现本地攻击痕迹检测。检测内容如下:
1.文件系统中的恶意负载;
2.恶意服务进程的任务名称;
3.后门用户名。
带脚本下载链接:
https://github . com/guardicore/labs _ campaigns/tree/master/voll gar
同时,该库还提供脚本运行指南和操作建议,包括:
立即隔离受感染的计算机,并防止它访问网络中的其他资产。
将所有MS-SQL用户帐户密码更改为强密码,以避免被该攻击或其他暴力攻击再次感染。
关闭数据库帐户登录模式,以windows身份验证模式登录数据库,并在windows策略中设置密码强度。
加强网络边界入侵的防范和管理,在网络出入口设置防火墙等网络安全设备,阻断不必要的通信。
对暴露于互联网的网络设备、服务器、操作系统和应用系统进行安全检查,包括但不限于漏洞扫描、木马监控、配置验证、WEB漏洞检测、网站渗透测试等。
加强安全管理,建立网络安全应急机制,启用网络和操作日志审计,安排网络值班,做好监控措施,及时发现攻击风险,及时处理。
雷锋。com雷锋网。com
引用来源:
1https://www . guardicore . com/2020/04/voll gar-ms-SQL-servers-under-attack/
2 https://github . com/guardicore/labs _ campaigns/tree/master/voll gar
