近日,Guadricore的IT安全研究人员透露,一个名为“Vollgar”的僵尸网络正在从120多个IP地址发送MicrosoftSQL(MSSQL)数据库发起攻击,从2018年5月一直持续到现在(将近两年)。在恶意软件通过暴力破解技术成功获得控制权后,它使用这些数据库来挖掘加密货币。目前,正在开采的加密货币是V-Dimension(Vollar)和门罗币(Monero),后者因其众所周知的匿名特性而在该领域非常受欢迎。进一步的详细统计表明,61%的计算机被感染的时间仅为2天或更短时间,21%的计算机被感染的时间超过7-14天,17.1%的计算机被再次感染。后一种情况可能是由于缺乏适当的安全措施来阻止恶意软件在首次感染服务器时完全根除服务器。受影响最严重的国家包括中国、印度、美国、韩国和土耳其。3月上半月,日均感染人数超过3000数据来源:Guardicore攻击者除了挖矿,还窃取数据。研究人员指出:除了消耗宝贵的CPU资源进行挖矿外,这些数据库服务器还因为其持有的数据量巨大而吸引了攻击者。这些机器可能会存储用户名、密码、信用卡号等个人信息,这些信息很可能落入攻击者手中,仅需简单的暴力破解即可。为了帮助受感染的人,Guardicore创建了一个Github存储库(https://github.com/guardicore/labs_campaigns/tree/master/Vollgar),其中有一系列用于识别恶意软件的特征数据,包括:以及传回的脚本的名称服务器的域和IP地址攻击者设置的计划任务和服务的名称攻击者创建的后门凭证Guardicore制作的Powershell脚本,用于检测Windows机器上Vollgar活动的残余库还提供脚本运行说明和建议操作,包括:立即隔离受感染的计算机并防止其访问网络上的其他资产。将所有MS-SQL用户帐户密码更改为强密码也很重要,以避免被这种或其他暴力攻击再次感染。最后,您可以采取一些主动预防措施来保护您的数据库。示例包括断开数据库与Internet的连接,从而限制外部访问;实施复杂的基于访问的控制机制,仅将需要访问特定服务器的IP地址列入白名单,并限制登录尝试次数以防止暴力攻击。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
