近日,Guardicore实验室团队监测到了一场可追溯至2018年5月的黑客攻击活动。攻击链从暴力破解开始,最终阶段是在SQL服务器上部署后门并执行多个恶意模块,包括多功能远程访问工具(RAT)以及门罗币和Vollar加密货币挖矿脚本。

基于不寻常的Vollar加密货币挖矿行为,Guardicore实验室团队将这场活动命名为“Vollgar”。据称,每天平均约有3000台服务器被感染,受害者来自各行各业,包括医疗保健、航空航天、IT、电信和高等教育等。

攻击链分析

如上所述,攻击链始于对MS-SQL的暴力破解。

在成功登录后,攻击者会对数据库进行一系列配置修改,以为后续执行命令做准备。

不仅如此,攻击者还会在MS-SQL数据库环境和操作系统环境中设置多个后门用户,以获得尽可能多的特权。

Guardicore实验室团队表示,他们共发现了10多种不同的后门,它们赋予了攻击者诸多能力,包括访问服务器、读取文件系统内容、修改注册表、下载或上传文件以及执行命令。

恶意有效载荷二进制文件通过三个独立的下载器脚本下载——两个通过HTTP下载的VBScript和一个FTP脚本。

初始有效载荷名为“SQLAGENTIDC.exe”或“SQLAGENTVDC.exe”,它首先会在一长串进程上运行taskkill,目的是清除可能已经存在的挖矿恶意软件,以获得更多的计算资源,这些进程包括Rnaphin.exe、xmr.exe和winxmr.exe等。

然后,有效载荷会将自身复制到用户的AppData文件夹下并再次执行复制。紧接着,它便会检查互联网连接,然后通过查询百度地图来获取受害者的IP和地理位置并将这些信息发送给CNC。

最后,它会将其他几个有效载荷下载到受感染的服务器上——几个RAT模块和一个挖矿脚本。根据Guardicore实验室团队的说法,挖矿脚本会同时挖掘门罗币和一种名为“VDS或Vollar”的加密货币。

其中,几个RAT模块提供了各种远程控制功能,包括下载文件、安装新的Windows服务、按键记录、截屏、运行交互式shell终端、激活摄像头和麦克风以及发起DDoS攻击等。

结语

正如你所看到的那样,这场黑客攻击活动的目标是暴露在互联网上的SQL服务器。因此,我们强烈建议不要将数据库服务器公开到互联网。相反,它们需要严格的白名单访问策略以及启用日志记录。

此外,将所有MS-SQL用户帐户密码更改为强密码也十分重要,这样做在很大程度上可以避免你的服务器成为暴力破解的牺牲品。

本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。

最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或联络我们。

对于会员专享、整站源码、程序插件、网站模板、网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。

如果您已经成功付款但是网站没有弹出成功提示,请联系站长提供付款信息为您处理

源码素材属于虚拟商品,具有可复制性,可传播性,一旦授予,不接受任何形式的退款、换货要求。请您在购买获取之前确认好 是您所需要的资源