警惕：黑客在数千个MicrosoftSQL服务器上安装秘密后门

网络安全研究人员近期发现了一项恶意活动，该活动针对运行MS-SQL服务器的Windows计算机，目的是在后门部署其他种类的恶意软件。

公司主营业务：成都做网站、成都网站建设、移动网站开发等业务。帮助企业客户真正实现互联网宣传，提高企业的竞争能力。创新互联是一支青春激扬、勤奋敬业、活力青春激扬、勤奋敬业、活力澎湃、和谐高效的团队。公司秉承以“开放、自由、严谨、自律”为核心的企业文化，感谢他们对我们的高要求，感谢他们从不同领域给我们带来的挑战，让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。创新互联推出绥德免费做网站回馈大家。

包括多功能远程访问工具(RAT)和挖矿木马。Guardicore Labs的研究人员声称其以令人反感的“粗俗”作案手法——利用Vollar加密货币而出名。

命名为“ Vollgar ”，该攻击利用密码暴力手段破坏了暴露于Internet的较弱凭据的Microsoft SQL Server。

研究人员称，攻击者在过去几周中成功地每天成功感染了近2,000-3,000台数据库服务器，潜在的受害者分别来自中国，印度，美国，韩国和美国的医疗保健，航空公司，IT、电信及高等教育部门。

值得庆幸的是，研究人员经过研究后发布了一个脚本，让系统管理员可以检测Windows MS-SQL服务器是否已受到威胁。

Vollgar的套路的第一步是在MS-SQL服务器上强行登录，若是成功，它会执行许多配置更改，以运行恶意MS-SQL命令并下载恶意软件二进制文件。

“通过验证，攻击者是以WbemScripting.SWbemLocator，Microsoft.Jet.OLEDB.4.0和Windows等脚本为宿主对象模型(wshom)来支持WMI编制并执行MS-SQL命令。最终目的是下载恶意软件或二进制文件。”

除了确保cmd.exe和ftp.exe可执行文件具有必要的执行权限外，Vollgar背后黑客还在MS-SQL数据库获得更高特权的操作，以创建新的后门。

攻击者在初始设置完成后，会继续创建下载VBScript和一个FTP脚本，这些脚本将多次执行，它们还会在本地文件系统上使用不同的位置来打障眼法。

最初的有效载名为SQLAGENTIDC.exe或SQLAGENTVDC.exe，黑客做的首先是取代一大串长串进程，为了获得最大的系统资源，它们会消除威胁其行动的竞争者黑客的数据，最后直接根除竞争对手。

攻击受损系统上托管的攻击基础架构

Guardicore说，攻击者将整个基础设施都存在受感染的计算机上，举例发现的是他们在中国发现的受害机——它们被控制服务器，然后迫传播攻击者命令，具有深思的是，多个的黑客组织都对它们进行了攻击。

• 网络安全公司观察到：“(在C&C服务器上的)文件中是MS-SQL攻击工具，负责扫描IP范围，对目标数据库进行暴力破解并远程执行命令。”
• “此外，我们发现了两个带有中文GUI的CNC程序，一个用于修改文件的哈希值的工具，一个便携式HTTP文件服务器(HFS)，Serv-U FTP服务器以及一个可执行文件mstsc.exe(Microsoft终端服务客户端)，用于通过RDP与受害者建立联系。”

一旦受感染的Windows客户端对C2服务器执行ping命令，后者就会收到有关该计算机的各种详细信息，例如其公共IP，位置，操作系统版本，计算机名称和CPU型号。

Guardicore说，安装在中国服务器上的两个C2程序是两个不同的供应商开发受害者，它们被远程控制的过程有相似之处——下载文件，安装新的Windows服务，键盘记录，屏幕捕获，激活摄像头和麦克风。最后甚至会被发起DDoS攻击。

使用强密码来避免暴力攻击

据发现，约五十万台运行MS-SQL数据库服务的计算机被暴露，这表明攻击者一直在盯着保护措施不佳的数据库服务器，以窃取敏感信息。所以说，必须使用强大的数据凭证保护，以避免Internet的MS-SQL服务器被暴露。

Guardicore研究人员总结：“除获取受害者CPU功能外，使这些数据库服务器吸引了攻击者的原因在于它们拥有大量数据。” 因为这些服务器用于存储个人信息，例如用户名，密码，信用卡号等，只需简单的暴力就被攻击者再次进行破解!

当前名称：警惕：黑客在数千个MicrosoftSQL服务器上安装秘密后门
转载注明：http://www.shufengxianlan.com/qtweb/news33/300583.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联