警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门

Posted 奇速盾订阅号

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门相关的知识,希望对你有一定的参考价值。



警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门
警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门
扫码关注我们
超级盾订阅号
实时资讯在这等你
警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门
警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门

转自thehackernews,作者Ravie Lakshmanan,蓝色摩卡译

合作站点转载请注明原文译者和出处为超级盾!



网络安全研究人员近期发现了一项恶意活动,该活动针对运行MS-SQL服务器的Windows计算机,目的是在后门部署其他种类的恶意软件

警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门

包括多功能远程访问工具(RAT)和挖矿木马。Guardicore Labs的研究人员声称以令人反感的“粗俗”作案手法——利用Vollar加密货币而出名

命名为“ Vollgar ”,该攻击利用密码暴力手段
破坏了暴露于Internet的较弱凭据的Microsoft SQL Server


研究人员称,攻击者在过去几周中成功地每天成功感染了近2,000-3,000台数据库服务器,潜在的受害者分别来自中国,印度,美国,韩国和美国的医疗保健,航空公司,IT、电信及高等教育部门

警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门


值得庆幸的是,研究人员经过研究后发布了一个脚本,让系统管理员可以检测Windows MS-SQL服务器是否已受到威胁。


Vollgar的套路的第一步是在MS-SQL服务器上强行登录,若是成功,它会执行许多配置更改,以运行恶意MS-SQL命令并下载恶意软件二进制文件

警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门



“通过验证,攻击者是以WbemScripting.SWbemLocator,Microsoft.Jet.OLEDB.4.0和Windows等脚本为宿主对象模型(wshom)来支持WMI编制并执行MS-SQL命令。最终目的是下载恶意软件或二进制文件。”


除了确保cmd.exe和ftp.exe可执行文件具有必要的执行权限外,Vollgar背后黑客还 在MS-SQL数据库获得更高特权的操作,以创建新的后门

警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门


攻击者在初始设置完成后,会继续创建下载VBScript和一个FTP脚本,这些脚本将多次执行,它们还会在本地文件系统上使用不同的位置来打障眼法



最初的有效载名为SQLAGENTIDC.exe或SQLAGENTVDC.exe,黑客做的首先是取代一大串长串进程,为了获得最大的系统资源,它们会消除威胁其行动的竞争者黑客的数据,最后直接根除竞争对手


攻击受损系统上托管的攻击基础架构


Guardicore说,攻击者将整个基础设施都存在受感染的计算机上,举例发现的是他们在中国发现的受害机——它们被控制服务器,然后迫传播攻击者命令,具有深思的是,多个的黑客组织都对它们进行了攻击。

警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门



网络安全公司观察到:“(在C&C服务器上的)文件中是MS-SQL攻击工具,负责扫描IP范围,对目标数据库进行暴力破解并远程执行命令。”

“此外,我们发现了两个带有中文GUI的CNC程序,一个用于修改文件的哈希值的工具,一个便携式HTTP文件服务器(HFS),Serv-U FTP服务器以及一个可执行文件mstsc.exe(Microsoft终端服务客户端),用于通过RDP与受害者建立联系。”


警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门

一旦受感染的Windows客户端对C2服务器执行ping命令,后者就会收到有关该计算机的各种详细信息,例如其公共IP,位置,操作系统版本,计算机名称和CPU型号。

Guardicore说,安装在中国服务器上的两个C2程序是两个不同的供应商开发受害者,
它们被远程控制的过程有相似之处——下载文件,安装新的Windows服务,键盘记录,屏幕捕获,激活摄像头和麦克风。最后甚至会被发起DDoS攻击。


使用强密码来避免暴力攻击


据发现,约五十万台运行MS-SQL数据库服务的计算机被暴露,这表明攻击者一直在盯着保护措施不佳的数据库服务器,以窃取敏感信息。所以说,必须使用强大的数据凭证保护,以避免Internet的MS-SQL服务器被暴露

警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门



Guardicore研究人员总结:“除获取受害者CPU功能外,使这些数据库服务器
吸引了攻击者的原因在于它们拥有大量数据。” 因为这些服务器用于存储个人信息,例如用户名,密码,信用卡号等,只需简单的暴力就被攻击者再次进行破解!



声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除(QQ2281740761)!


警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门

温馨提示:


莫出门,戴口罩,勤洗手,

远离野生动物!

愿大家2020年出入平安!


警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门

截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击超级盾具有无限防御DDoS、100%防CC的优势且公司透露,超级盾产品即将又迎来新的一轮爆发式增长,将更好的为业务的安全、稳定、健康运营保驾护航,大家敬请期待吧~

——超级科技


警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门


CJD


· 技术大牛都在这里 ·

Hi,我是超级盾

从现在开始

我的每一句话都是认真的

如果,你被攻击了

别打110、119、120

来这里看着就行




长按扫码关注

以上是关于警惕:黑客在数千个Microsoft SQL 服务器上安装秘密后门的主要内容,如果未能解决你的问题,请参考以下文章

警惕黑客使用加密货币挖掘者或勒索软件感染系统

揭开黑客是如何秘密挖掘加密货币?

微软遭遇“僵尸围城”,黑客用Microsoft SQL数据库挖矿

DHS警告:Microsoft Exchange服务器漏洞正被APT黑客利用

研究人员披露Microsoft Windows中5个0day;黑客在暗网出售Wishbone中4000万条用户信息

微软开始为Microsoft Office 365提供恶意宏扫描和检测