警告:黑客在数千个Microsoft SQL Server上安装了秘密后门 安全资讯

admin 5月前 98

网络安全研究人员今天发现了一项持续的恶意活动,该活动可以追溯到2018年5月,该活动的目标是运行MS-SQL服务器的Windows计算机部署后门和其他种类的恶意软件,包括多功能远程访问工具(RAT)和加密矿工。Guardicore Labs的研究人员以其开采的Vollar加密货币和其令人反感的“粗俗”作案手法

命名为“ Vollgar ”,该攻击利用密码暴力手段破坏了暴露于Internet的较弱凭据的Microsoft SQL Server。

研究人员称,攻击者在过去几周中成功地每天成功感染了近2,000-3,000台数据库服务器,潜在的受害者分别来自中国,印度,美国,韩国和美国的医疗保健,航空,IT和电信以及高等教育部门。火鸡。

值得感谢的是,研究人员还发布了一个脚本,让系统管理员可以检测其任何Windows MS-SQL服务器是否已受到此特定威胁的威胁。

Vollgar攻击链:MS-SQL到系统恶意软件

Vollgar攻击始于在MS-SQL服务器上的强行登录尝试,成功后,它允许闯入者执行许多配置更改,以运行恶意MS-SQL命令并下载恶意软件二进制文件。

“攻击者[还]验证某些COM类可用-WbemScripting.SWbemLocator,Microsoft.Jet.OLEDB.4.0和Windows脚本宿主对象模型(wshom)。这些类支持WMI脚本编制和通过MS-SQL执行命令。后来用于下载初始恶意软件二进制文件。”研究人员说。

除了确保cmd.exe和ftp.exe可执行文件具有必要的执行权限外,Vollgar背后的操作员还为MS-SQL数据库以及具有较高特权的操作系统创建了新的后门用户。

初始设置完成后,攻击会继续创建下载器脚本(两个VBScript和一个FTP脚本),这些脚本将“多次”执行,每次在本地文件系统上使用不同的目标位置来避免可能的故障。

最初的有效负载之一,名为SQLAGENTIDC.exe或SQLAGENTVDC.exe,首先会杀死一长串进程,目的是确保最大数量的系统资源,并消除其他威胁行为者的活动并从中删除它们的存在。被感染的机器。

此外,它还充当不同RAT的投递器,以及基于XMRig的加密矿工,用于挖掘Monero和称为VDS或Vollar的替代硬币。

攻击受损系统上托管的攻击基础架构

Guardicore说,攻击者将整个基础设施都保存在受感染的计算机上,包括其位于中国的主要命令和控制服务器,具有讽刺意味的是,发现多个以上的攻击组织都对其进行了攻击。

网络安全公司观察到:“(在C&C服务器上的文件中)是MS-SQL攻击工具,它负责扫描IP范围,对目标数据库进行暴力破解并远程执行命令。”

“此外,我们发现了两个带有中文GUI的CNC程序,一个用于修改文件的哈希值的工具,一个便携式HTTP文件服务器(HFS),Serv-U FTP服务器以及一个可执行文件mstsc.exe的副本(Microsoft终端服务客户端),用于通过RDP与受害者建立联系。”

一旦受感染的Windows客户端对C2服务器执行ping命令,后者就会收到有关该计算机的各种详细信息,例如其公共IP,位置,操作系统版本,计算机名称和CPU型号。

Guardicore表示安装在中国服务器上的两个C2程序是由两个不同的供应商开发的,他们的远程控制功能存在相似之处,即下载文件,安装新的Windows服务,键盘记录,屏幕捕获,激活摄像头和麦克风。 ,甚至发起分布式拒绝服务(DDoS)攻击。

使用强密码来避免暴力攻击

该活动有大约50万台运行MS-SQL数据库服务的计算机,这又表明攻击者正在追捕保护不佳的数据库服务器,以窃取敏感信息。必须使用强大的凭据保护暴露于Internet的MS-SQL服务器。

Guardicore研究人员总结说:“除了拥有宝贵的CPU功能之外,使这些数据库服务器吸引攻击者的原因还在于它们拥有的大量数据。” “这些机器可能存储个人信息,例如用户名,密码,信用卡号等,这些信息只需简单的暴力就可以落入攻击者的手中。”


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:小心:它是否入侵了你的系统
下一篇:新的Zoom Hack让黑客破坏Windows及其登录密码
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回