前不久，微軟剛剛宣布聯(lián)合 35 個(gè)國(guó)家摧毀了全球最大的僵尸網(wǎng)絡(luò)之一 Necurs，（詳情參見(jiàn)雷鋒網(wǎng)此前報(bào)道）最近，微軟卻被僵尸網(wǎng)絡(luò) Vollgar 盯上近兩年。

僵尸網(wǎng)絡(luò) Vollgar 入侵微軟近兩年，每天攻擊近 3000個(gè)數(shù)據(jù)庫(kù)

近日，Guardicore Labs 團(tuán)隊(duì)發(fā)布了一份長(zhǎng)期攻擊活動(dòng)的分析報(bào)告，此攻擊活動(dòng)主要針對(duì)運(yùn)行 MS-SQL 服務(wù)的 Windows 系統(tǒng)。分析報(bào)告稱，此攻擊活動(dòng)至少?gòu)?2018 年 5 月開(kāi)始，將近兩年，這一系列的攻擊活動(dòng)被命名為“ Vollgar ”。

Vollgar 攻擊首先在 MS-SQL 服務(wù)器上進(jìn)行暴力登錄嘗試，成功后，允許攻擊者執(zhí)行許多配置更改以運(yùn)行惡意 MS-SQL 命令并下載惡意軟件二進(jìn)制文件。

該惡意軟件通過(guò)暴力破解技術(shù)成功獲得控制權(quán)后，便使用這些數(shù)據(jù)庫(kù)來(lái)挖掘加密貨幣。當(dāng)前，正在開(kāi)采的加密貨幣是 V-Dimension（Vollar）和 Monero（門(mén)羅幣）。

此外，Vollgar 背后的攻擊者還為 MS-SQL 數(shù)據(jù)庫(kù)以及具有較高特權(quán)的操作系統(tǒng)創(chuàng)建了新的后門(mén)賬戶。

初始設(shè)置完成后，攻擊會(huì)繼續(xù)創(chuàng)建下載器腳本(兩個(gè) VBScript 和一個(gè) FTP 腳本)，這些腳本將“多次”執(zhí)行，每次在本地文件系統(tǒng)上使用不同的目標(biāo)位置來(lái)避免可被發(fā)現(xiàn)。

其中一個(gè)名為 SQLAGENTIDC.exe/SQLAGENTVDC.exe 的初始有效負(fù)載首先會(huì)殺死一長(zhǎng)串進(jìn)程，目的是確保最大數(shù)量的系統(tǒng)資源，消除其他威脅參與者的活動(dòng)，并從受感染的計(jì)算機(jī)中刪除它們的存在。

值得注意的是，61％ 的計(jì)算機(jī)僅感染了 2 天或更短的時(shí)間，21％ 的計(jì)算機(jī)感染了 7-14 天以上，其中 17.1％ 的計(jì)算機(jī)受到了重復(fù)感染。后一種情況可能是由于缺乏適當(dāng)?shù)陌踩胧┒鴮?dǎo)致在首次感染服務(wù)器時(shí)無(wú)法徹底消除該惡意軟件。

報(bào)告中稱，每天有 2-3 千個(gè)數(shù)據(jù)庫(kù)在 Vollgar 攻擊活動(dòng)中被攻陷，其中包括中國(guó)、印度、韓國(guó)、土耳其和美國(guó)等國(guó)家，受影響的行業(yè)涵蓋醫(yī)療、航空、IT、電信、教育等多個(gè)領(lǐng)域。

除了消耗 CPU 資源挖礦之外，這些數(shù)據(jù)庫(kù)服務(wù)器吸引攻擊者的原因還在于它們擁有的大量數(shù)據(jù)。這些機(jī)器可能存儲(chǔ)個(gè)人信息，例如用戶名、密碼、信用卡號(hào)等，這些信息僅需簡(jiǎn)單的暴力就可以落入攻擊者的手中。

有點(diǎn)可怕。

如何自查？

那么，有沒(méi)有什么辦法能提前抵御這種攻擊呢？

雷鋒網(wǎng)了解到，為了幫助感染者，Guardicore Labs 還提供了 PowerShell 自查腳本 Script - detect_vollgar.ps1，自查腳本 detect_vollgar.ps1 可實(shí)現(xiàn)本地攻擊痕跡檢測(cè)，檢測(cè)內(nèi)容如下：

1.     文件系統(tǒng)中的惡意 payload ；

2.     惡意服務(wù)進(jìn)程任務(wù)名；

3.     后門(mén)用戶名。

附腳本下載鏈接：

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

同時(shí)，該庫(kù)還提供了腳本運(yùn)行指南和行動(dòng)建議，其中包括：

• 立即隔離受感染的計(jì)算機(jī)，并阻止其訪問(wèn)網(wǎng)絡(luò)中的其他資產(chǎn)。

• 將所有 MS-SQL 用戶帳戶密碼更改為強(qiáng)密碼，以避免被此攻擊或其他暴力攻擊再次感染。

• 關(guān)閉數(shù)據(jù)庫(kù)賬號(hào)登錄方式，以 windows 身份驗(yàn)證方式登錄數(shù)據(jù)庫(kù)，并在 windows 策略里設(shè)置密碼強(qiáng)度。

• 加強(qiáng)網(wǎng)絡(luò)邊界入侵防范和管理，在網(wǎng)絡(luò)出入口設(shè)置防火墻等網(wǎng)絡(luò)安全設(shè)備，對(duì)不必要的通訊予以阻斷。

• 對(duì)暴露在互聯(lián)網(wǎng)上的網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行安全排查，包括但不限漏洞掃描、木馬監(jiān)測(cè)、配置核查、WEB 漏洞檢測(cè)、網(wǎng)站滲透測(cè)試等。

• 加強(qiáng)安全管理，建立網(wǎng)絡(luò)安全應(yīng)急處置機(jī)制，啟用網(wǎng)絡(luò)和運(yùn)行日志審計(jì)，安排網(wǎng)絡(luò)值守，做好監(jiān)測(cè)措施，及時(shí)發(fā)現(xiàn)攻擊風(fēng)險(xiǎn)，及時(shí)處理。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

引用來(lái)源：

[1]https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/

[2] https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。