最近，Guadricore的IT安全研究人員透露，一個(gè)名為“Vollgar”的僵尸網(wǎng)絡(luò)正在從120多個(gè)IP地址向Microsoft SQL(MSSQL)數(shù)據(jù)庫發(fā)起攻擊，該攻擊自2018年5月以來一直持續(xù)到現(xiàn)在(將近兩年)。

該惡意軟件通過暴力破解技術(shù)成功獲得控制權(quán)后，便使用這些數(shù)據(jù)庫來挖掘加密貨幣。當(dāng)前，正在開采的加密貨幣是V-Dimension(Vollar)和Monero(門羅幣)，后者由于其廣為人知的匿名功能而在該領(lǐng)域非常受歡迎。

[[321044]]

進(jìn)一步的詳細(xì)統(tǒng)計(jì)信息顯示，61%的計(jì)算機(jī)僅感染了2天或更短的時(shí)間，21%的計(jì)算機(jī)感染了7-14天以上，其中17.1%的計(jì)算機(jī)受到了重復(fù)感染。后一種情況可能是由于缺乏適當(dāng)?shù)陌踩胧┒鴮?dǎo)致在首次感染服務(wù)器時(shí)無法徹底消除該惡意軟件。

受感染最嚴(yán)重的國家包括中國、印度、美國、韓國和土耳其。

3月上旬平均每天感染數(shù)量超過3000次 數(shù)據(jù)來源：Guardicore

除了挖礦，攻擊者還會(huì)竊取數(shù)據(jù)，研究者指出：

為幫助感染者，Guardicore建立了一個(gè)Github代碼庫(https://github.com/guardicore/labs_campaigns/tree/master/Vollgar)，該庫有用于識(shí)別惡意軟件的一系列特征數(shù)據(jù)，包括：

• 作為攻擊的一部分丟棄的二進(jìn)制文件和腳本的名稱
• 回傳服務(wù)器的域和IP地址
• 攻擊者設(shè)置的計(jì)劃任務(wù)和服務(wù)的名稱
• 攻擊者創(chuàng)建的后門憑證
• Guardicore制作的Powershell腳本，用于檢測(cè)Windows機(jī)器上Vollgar活動(dòng)的殘留

該庫還提供了腳本運(yùn)行指南和行動(dòng)建議，其中包括：

• 立即隔離受感染的計(jì)算機(jī)，并阻止其訪問網(wǎng)絡(luò)中的其他資產(chǎn)。
• 將所有MS-SQL用戶帳戶密碼更改為強(qiáng)密碼也很重要，以避免被此攻擊或其他暴力攻擊再次感染。
• 最后，還可以采取某些主動(dòng)性的預(yù)防措施來保護(hù)自己的數(shù)據(jù)庫。例如將數(shù)據(jù)庫與互聯(lián)網(wǎng)斷開，從而限制外部訪問;實(shí)施基于復(fù)雜訪問的控制機(jī)制，該機(jī)制僅將需要訪問特定服務(wù)器的IP地址列入白名單，并限制登錄嘗試的次數(shù)以防止暴力破解。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文