近日,Guardicore实验室团队监测到了一场可追溯至2018年5月的黑客攻击活动。攻击链从暴力破解开始,最终阶段是在SQL服务器上部署后门并执行多个恶意模块,包括多功能远程访问工具(RAT)以及门罗币和Vollar加密货币挖矿脚本。
基于不寻常的Vollar加密货币挖矿行为,Guardicore实验室团队将这场活动命名为“Vollgar”。据称,每天平均约有3000台服务器被感染,受害者来自各行各业,包括医疗保健、航空航天、IT、电信和高等教育等。
攻击链分析
如上所述,攻击链始于对MS-SQL的暴力破解。
在成功登录后,攻击者会对数据库进行一系列配置修改,以为后续执行命令做准备。
不仅如此,攻击者还会在MS-SQL数据库环境和操作系统环境中设置多个后门用户,以获得尽可能多的特权。
Guardicore实验室团队表示,他们共发现了10多种不同的后门,它们赋予了攻击者诸多能力,包括访问服务器、读取文件系统内容、修改注册表、下载或上传文件以及执行命令。
恶意有效载荷二进制文件通过三个独立的下载器脚本下载——两个通过HTTP下载的VBScript和一个FTP脚本。
初始有效载荷名为“SQLAGENTIDC.exe”或“SQLAGENTVDC.exe”,它首先会在一长串进程上运行taskkill,目的是清除可能已经存在的挖矿恶意软件,以获得更多的计算资源,这些进程包括Rnaphin.exe、xmr.exe和winxmr.exe等。
然后,有效载荷会将自身复制到用户的AppData文件夹下并再次执行复制。紧接着,它便会检查互联网连接,然后通过查询百度地图来获取受害者的IP和地理位置并将这些信息发送给CNC。
最后,它会将其他几个有效载荷下载到受感染的服务器上——几个RAT模块和一个挖矿脚本。根据Guardicore实验室团队的说法,挖矿脚本会同时挖掘门罗币和一种名为“VDS或Vollar”的加密货币。
其中,几个RAT模块提供了各种远程控制功能,包括下载文件、安装新的Windows服务、按键记录、截屏、运行交互式shell终端、激活摄像头和麦克风以及发起DDoS攻击等。
结语
正如你所看到的那样,这场黑客攻击活动的目标是暴露在互联网上的SQL服务器。因此,我们强烈建议不要将数据库服务器公开到互联网。相反,它们需要严格的白名单访问策略以及启用日志记录。
此外,将所有MS-SQL用户帐户密码更改为强密码也十分重要,这样做在很大程度上可以避免你的服务器成为暴力破解的牺牲品。
