日前微软宣布联合 35 国摧毁全球最大殭尸网路之一 Necurs,最近微软却爆出被殭尸网路 Vollgar 盯上近两年。
殭尸网路 Vollgar 入侵微软近两年,每天攻击近 3 千个资料库
近日,Guardicore Labs 团队发表长期攻击活动的分析报告,主要针对执行 MS-SQL 服务的 Windows 系统。分析报告称,此攻击活动至少从 2018 年 5 月开始,将近两年,一系列攻击命名为「Vollgar」。
Vollgar 攻击首先在 MS-SQL 伺服器暴力登入尝试,成功后,允许攻击者执行许多规格变更以执行恶意 MS-SQL 指令,并下载恶意软体二进位档案。
恶意软体透过暴力破解技术成功获得控制权后,使用这些资料库挖矿加密货币。目前,正在开採的加密货币是 V-Dimension(Vollar)和 Monero(门罗币)。
Vollgar 背后的攻击者还为 MS-SQL 资料库及具较高权限的作业系统建立新后门帐号。
初始设定完成后,攻击会继续建立下载器程式档(两个 VBScript 和一个 FTP 程式档),这些程式档将「多次」执行,每次在区域档案系统使用不同目标位置,避免被发现。
其中一个名为 SQLAGENTIDC.exe / SQLAGENTVDC.exe 的初始有效负载会先杀死一长串程式,目的是确保最大数量的系统资源,消除其他威胁参与者的活动,并从受感染的电脑移除其他参与者。
61% 电脑仅感染 2 天或更短时间,21% 电脑感染 7~14 天,其中 17.1% 电脑受到重複感染。后一种情况可能是由于缺乏适当的安全措施,导致首次感染伺服器时无法彻底消除恶意软体。
报告称,每天有 2,000~3,000 个资料库在 Vollgar 攻击活动时攻陷,包括中国、印度、南韩、土耳其和美国等国家,受影响的产业涵盖医疗、航空、IT、电信、教育等多个领域。
除了消耗 CPU 资源挖矿,这些资料库伺服器吸引攻击者的原因还在大量资料。这些机器可能储存个资,如用户名、密码、信用卡号等,这些资讯仅需简单的暴力就可落入攻击者手中。
有点可怕。
如何侦查?
那幺,有没有什幺办法能抵御攻击呢?
为了帮助感染者,Guardicore Labs 提供 PowerShell 自查程式档 Script:detect_vollgar.ps1,可侦测区域攻击痕迹,侦测内容如下:
- 档案系统的恶意 payload。
- 恶意服务程式工作名。
- 后门用户名。
同时,程式库还提供程式档执行指南和行动建议,包括:
- 立即隔离受感染的电脑,并阻止存取网路其他资产。
- 将所有 MS-SQL 用户帐户密码变更为强密码,避免被此攻击或其他暴力攻击再次感染。
- 关闭资料库帐号登入方式,以 Windows 身分验证登入资料库,并在 Windows 策略设定密码强度。
- 加强网路边界入侵防範管理,在网路出进入点设定防火墙等网路安全装置,对不必要的通讯予以阻断。
- 对暴露于网路的网路装置、伺服器、作业系统和应用系统进行安全检查,包括但不限漏洞扫描、木马监测、规格核查、WEB 漏洞侦测、网站渗透测试等。
- 加强安全管理,建立网路安全应急处置机制,启用网路和执行日誌稽核,安排网路值守,做好监测措施,及时发现攻击风险,及时处理。
