轉自thehackernews,作者Ravie Lakshmanan,藍色摩卡譯,合作站點轉載請註明原文譯者和出處為超級盾!
網絡安全研究人員近期發現了一項惡意活動,該活動針對運行MS-SQL服務器的Windows計算機,目的是在後門部署其他種類的惡意軟件。
包括多功能遠程訪問工具(RAT)和挖礦木馬。Guardicore Labs的研究人員聲稱其以令人反感的“粗俗”作案手法——利用Vollar加密貨幣而出名。
命名為“ Vollgar ”,該攻擊利用密碼暴力手段破壞了暴露於Internet的較弱憑據的Microsoft SQL Server。
研究人員稱,攻擊者在過去幾週中成功地每天成功感染了近2,000-3,000臺數據庫服務器,潛在的受害者分別來自中國,印度,美國,韓國和美國的醫療保健,航空公司,IT、電信及高等教育部門。
值得慶幸的是,研究人員經過研究後發佈了一個腳本,讓系統管理員可以檢測Windows MS-SQL服務器是否已受到威脅。
Vollgar的套路的第一步是在MS-SQL服務器上強行登錄,若是成功,它會執行許多配置更改,以運行惡意MS-SQL命令並下載惡意軟件二進制文件。
“通過驗證,攻擊者是以WbemScripting.SWbemLocator,Microsoft.Jet.OLEDB.4.0和Windows等腳本為宿主對象模型(wshom)來支持WMI編制並執行MS-SQL命令。最終目的是下載惡意軟件或二進制文件。”
除了確保cmd.exe和ftp.exe可執行文件具有必要的執行權限外,Vollgar背後黑客還在MS-SQL數據庫獲得更高特權的操作,以創建新的後門。
攻擊者在初始設置完成後,會繼續創建下載VBScript和一個FTP腳本,這些腳本將多次執行,它們還會在本地文件系統上使用不同的位置來打障眼法。
最初的有效載名為SQLAGENTIDC.exe或SQLAGENTVDC.exe,黑客做的首先是取代一大串長串進程,為了獲得最大的系統資源,它們會消除威脅其行動的競爭者黑客的數據,最後直接根除競爭對手。
攻擊受損系統上託管的攻擊基礎架構
Guardicore說,攻擊者將整個基礎設施都存在受感染的計算機上,舉例發現的是他們在中國發現的受害機——它們被控制服務器,然後迫傳播攻擊者命令,具有深思的是,多個的黑客組織都對它們進行了攻擊。
網絡安全公司觀察到:“(在C&C服務器上的)文件中是MS-SQL攻擊工具,負責掃描IP範圍,對目標數據庫進行暴力破解並遠程執行命令。”
“此外,我們發現了兩個帶有中文GUI的CNC程序,一個用於修改文件的哈希值的工具,一個便攜式HTTP文件服務器(HFS),Serv-U FTP服務器以及一個可執行文件mstsc.exe(Microsoft終端服務客戶端),用於通過RDP與受害者建立聯繫。”
一旦受感染的Windows客戶端對C2服務器執行ping命令,後者就會收到有關該計算機的各種詳細信息,例如其公共IP,位置,操作系統版本,計算機名稱和CPU型號。
Guardicore說,安裝在中國服務器上的兩個C2程序是兩個不同的供應商開發受害者,它們被遠程控制的過程有相似之處——下載文件,安裝新的Windows服務,鍵盤記錄,屏幕捕獲,激活攝像頭和麥克風。最後甚至會被髮起DDoS攻擊。
使用強密碼來避免暴力攻擊
據發現,約五十萬臺運行MS-SQL數據庫服務的計算機被暴露,這表明攻擊者一直在盯著保護措施不佳的數據庫服務器,以竊取敏感信息。所以說,必須使用強大的數據憑證保護,以避免Internet的MS-SQL服務器被暴露。
Guardicore研究人員總結:“除獲取受害者CPU功能外,使這些數據庫服務器吸引了攻擊者的原因在於它們擁有大量數據。”
因為這些服務器用於存儲個人信息,例如用戶名,密碼,信用卡號等,只需簡單的暴力就被攻擊者再次進行破解!精彩在後面
Hi,我是超級盾
更多幹貨,可移步到,微信公眾號:超級盾訂閱號!精彩與您不見不散!
超級盾能做到:防得住、用得起、接得快、玩得好、看得見、雙向數據加密!
截至到目前,超級盾成功抵禦史上最大2.47T黑客DDoS攻擊,超級盾具有無限防禦DDoS、100%防CC的優勢
閱讀更多 超級盾 的文章
