当心:黑客在数以千计的MicrosoftSQL服务器软件上安装秘密后门。其中包括多功能远程访问工具(RAT)和挖矿木马。GuardicoreLabs的研究人员声称,它以其攻击性和“粗鲁”的作案手法而闻名——利用Vollar加密货币。名为“Vollgar”的攻击使用密码暴力破解MicrosoftSQLServer,并向Internet公开了薄弱的凭据。据研究人员称,在过去几周内,攻击者每天设法感染近2,000-3,000台数据库服务器,潜在受害者来自中国、印度、美国、韩国以及医疗保健、航空公司、IT、电信和高等教育部门。值得庆幸的是,研究人员发布了一个脚本,允许系统管理员检测WindowsMS-SQL服务器是否已被破坏。Vollgar计划的第一步是强制登录MS-SQL服务器,如果成功,它会执行一些配置更改以运行恶意MS-SQL命令并下载恶意软件二进制文件。“通过验证,攻击者使用WbemScripting.SWbemLocator、Microsoft.Jet.OLEDB.4.0、Windows等脚本作为宿主对象模型(wshom),支持WMI编译,执行MS-SQL命令,最终目的是下载恶意软件或二进制文件。”除了确保cmd.exe和ftp.exe可执行文件具有必要的执行权限外,Vollgar背后的黑客还获得了对MS-SQL数据库的更高权限操作,以创建新的后门。一旦初始设置完成,攻击者就可以继续进行创建一个会被多次执行的下载VBScript和一个FTP脚本,他们还会利用本地文件系统的不同位置进行欺骗。初始的payload名为SQLAGENTIDC.exe或SQLAGENTVDC.exe,黑客首先要做的是更换一长串进程,为了获得最大的系统资源,他们会清除竞争对手黑客威胁其运营的数据,最终直接消灭竞争对手。托管在受感染系统上的攻击基础设施Guardicore说,攻击者将整个基础设施存储在受感染的计算机上,并引用了他们在中国发现的受害者的例子,他们控制了服务器,然后迫使攻击者传播命令,经过深思熟虑,多个黑客组织已经攻击了他们。“在这些文件中(在C&C服务器上)是扫描IP范围、暴力破解目标数据库并远程执行命令的MS-SQL攻击工具,”这家网络安全公司观察到。“此外,我们还发现了两个带有中文GUI的CNC程序、一个修改文件哈希值的工具、一个便携式HTTP文件服务器(HFS)、一个Serv-UFTP服务器和一个可执行文件mstsc.exe(MicrosoftTerminalServices客户端),因为受害者是通过RDP连接的。”一旦受感染的Windows客户端pingC2服务器,后者就会收到有关计算机的各种详细信息,例如其公共IP、位置、操作系统版本、计算机名称和CPU型号。Guardicore表示,安装在中国服务器上的两个C2程序是两个不同供应商开发的受害者,它们被远程控制,过程相似——下载文件、安装新的Windows服务、键盘记录、屏幕捕获以激活摄像头和麦克风。最后甚至发起DDoS攻击。使用强密码避免暴力攻击大约有50万台运行MS-SQL数据库服务的计算机已经暴露,这表明攻击者一直在盯着保护不力的数据库服务器窃取敏感信息。因此,必须使用强大的数据凭证保护来避免MS-SQL服务器暴露在Internet上。Guardicore研究人员总结说:“除了获得受害者的CPU能力之外,这些数据库服务器对攻击者具有吸引力的原因在于它们拥有大量数据。”因为这些服务器是用来存储用户名、密码、信用卡号等个人信息的,所以只需要简单的暴力就可以被攻击者再次破解!
