近期,安全研究人员透露,一个名为“Vollgar”的僵尸网络正在从120多个IP地址向MSSQL数据库发起攻击,该攻击自2018年5月以来一直持续到现在。
该恶意软件通过暴力破解技术成功获得控制权后,便使用这些数据库来挖掘加密货币。统计信息显示,61%的计算机仅感染了2天或更短的时间,21%的计算机感染了7-14天以上,其中17.1%的计算机受到了重复感染。
研究人员称,攻击者在过去几周中成功地每天成功感染了近2,000-3,000台数据库服务器,潜在的受害者分别来自中国,印度,美国,韩国和美国的医疗保健,航空,IT和电信以及高等教育部门。
除了挖矿,攻击者还会窃取数据,研究者指出:数据库服务器吸引攻击者的原因还在于它们拥有的大量数据。这些机器可能存储个人信息,例如用户名、密码、信用卡号等,这些信息仅需简单的暴力就可以落入攻击者的手中。
为帮助感染者,安全团队建立了一个代码库。(https://github.com/guardicore/labs_campaigns/tree/master/Vollgar),该库有用于识别恶意软件的一系列特征数据,包括:
1-作为攻击的一部分丢弃的二进制文件和脚本的名称
2-回传服务器的域和IP地址
3-攻击者设置的计划任务和服务的名称
4-攻击者创建的后门凭证
5- Powershell脚本,用于检测Windows机器上Vollgar活动的残留
该库还提供了脚本运行指南和行动建议,其中包括:
●立即隔离受感染的计算机,并阻止其访问网络中的其他资产。
●将所有 MS-SQL 用户帐户密码更改为强密码,以避免被此攻击或其他暴力攻击再次感染。
●关闭数据库账号登录方式,以 windows 身份验证方式登录数据库,并在 windows 策略里设置密码强度。
●加强网络边界入侵防范和管理,在网络出入口设置防火墙等网络安全设备,对不必要的通讯予以阻断。
●对暴露在互联网上的网络设备、服务器、操作系统和应用系统进行安全排查,包括但不限漏洞扫描、木马监测、配置核查、WEB 漏洞检测、网站渗透测试等。
●加强安全管理,建立网络安全应急处置机制,启用网络和运行日志审计,安排网络值守,做好监测措施,及时发现攻击风险,及时处理。
閱讀更多 優炫軟件 的文章
