近期,安全研究人員透露,一個名為“Vollgar”的殭屍網絡正在從120多個IP地址向MSSQL數據庫發起攻擊,該攻擊自2018年5月以來一直持續到現在。
該惡意軟件通過暴力破解技術成功獲得控制權後,便使用這些數據庫來挖掘加密貨幣。統計信息顯示,61%的計算機僅感染了2天或更短的時間,21%的計算機感染了7-14天以上,其中17.1%的計算機受到了重複感染。
研究人員稱,攻擊者在過去幾週中成功地每天成功感染了近2,000-3,000臺數據庫服務器,潛在的受害者分別來自中國,印度,美國,韓國和美國的醫療保健,航空,IT和電信以及高等教育部門。
除了挖礦,攻擊者還會竊取數據,研究者指出:數據庫服務器吸引攻擊者的原因還在於它們擁有的大量數據。這些機器可能存儲個人信息,例如用戶名、密碼、信用卡號等,這些信息僅需簡單的暴力就可以落入攻擊者的手中。
為幫助感染者,安全團隊建立了一個代碼庫。(https://github.com/guardicore/labs_campaigns/tree/master/Vollgar),該庫有用於識別惡意軟件的一系列特徵數據,包括:
1-作為攻擊的一部分丟棄的二進制文件和腳本的名稱
2-回傳服務器的域和IP地址
3-攻擊者設置的計劃任務和服務的名稱
4-攻擊者創建的後門憑證
5- Powershell腳本,用於檢測Windows機器上Vollgar活動的殘留
該庫還提供了腳本運行指南和行動建議,其中包括:
●立即隔離受感染的計算機,並阻止其訪問網絡中的其他資產。
●將所有 MS-SQL 用戶帳戶密碼更改為強密碼,以避免被此攻擊或其他暴力攻擊再次感染。
●關閉數據庫賬號登錄方式,以 windows 身份驗證方式登錄數據庫,並在 windows 策略裡設置密碼強度。
●加強網絡邊界入侵防範和管理,在網絡出入口設置防火牆等網絡安全設備,對不必要的通訊予以阻斷。
●對暴露在互聯網上的網絡設備、服務器、操作系統和應用系統進行安全排查,包括但不限漏洞掃描、木馬監測、配置核查、WEB 漏洞檢測、網站滲透測試等。
●加強安全管理,建立網絡安全應急處置機制,啟用網絡和運行日誌審計,安排網絡值守,做好監測措施,及時發現攻擊風險,及時處理。
閱讀更多 優炫軟件 的文章
