網(wǎng)絡安全研究人員近期發(fā)現(xiàn)了一項惡意活動，該活動針對運行MS-SQL服務器的Windows計算機，目的是在后門部署其他種類的惡意軟件。

包括多功能遠程訪問工具(RAT)和挖礦木馬。Guardicore Labs的研究人員聲稱其以令人反感的“粗俗”作案手法——利用Vollar加密貨幣而出名。

命名為“ Vollgar ”，該攻擊利用密碼暴力手段破壞了暴露于Internet的較弱憑據(jù)的Microsoft SQL Server。

研究人員稱，攻擊者在過去幾周中成功地每天成功感染了近2,000-3,000臺數(shù)據(jù)庫服務器，潛在的受害者分別來自中國，印度，美國，韓國和美國的醫(yī)療保健，航空公司，IT、電信及高等教育部門。

值得慶幸的是，研究人員經(jīng)過研究后發(fā)布了一個腳本，讓系統(tǒng)管理員可以檢測Windows MS-SQL服務器是否已受到威脅。

Vollgar的套路的第一步是在MS-SQL服務器上強行登錄，若是成功，它會執(zhí)行許多配置更改，以運行惡意MS-SQL命令并下載惡意軟件二進制文件。

“通過驗證，攻擊者是以WbemScripting.SWbemLocator，Microsoft.Jet.OLEDB.4.0和Windows等腳本為宿主對象模型(wshom)來支持WMI編制并執(zhí)行MS-SQL命令。最終目的是下載惡意軟件或二進制文件。”

除了確保cmd.exe和ftp.exe可執(zhí)行文件具有必要的執(zhí)行權限外，Vollgar背后黑客還在MS-SQL數(shù)據(jù)庫獲得更高特權的操作，以創(chuàng)建新的后門。

攻擊者在初始設置完成后，會繼續(xù)創(chuàng)建下載VBScript和一個FTP腳本，這些腳本將多次執(zhí)行，它們還會在本地文件系統(tǒng)上使用不同的位置來打障眼法。

最初的有效載名為SQLAGENTIDC.exe或SQLAGENTVDC.exe，黑客做的首先是取代一大串長串進程，為了獲得最大的系統(tǒng)資源，它們會消除威脅其行動的競爭者黑客的數(shù)據(jù)，最后直接根除競爭對手。

攻擊受損系統(tǒng)上托管的攻擊基礎架構

Guardicore說，攻擊者將整個基礎設施都存在受感染的計算機上，舉例發(fā)現(xiàn)的是他們在中國發(fā)現(xiàn)的受害機——它們被控制服務器，然后迫傳播攻擊者命令，具有深思的是，多個的黑客組織都對它們進行了攻擊。

• 網(wǎng)絡安全公司觀察到：“(在C&C服務器上的)文件中是MS-SQL攻擊工具，負責掃描IP范圍，對目標數(shù)據(jù)庫進行暴力破解并遠程執(zhí)行命令。”
• “此外，我們發(fā)現(xiàn)了兩個帶有中文GUI的CNC程序，一個用于修改文件的哈希值的工具，一個便攜式HTTP文件服務器(HFS)，Serv-U FTP服務器以及一個可執(zhí)行文件mstsc.exe(Microsoft終端服務客戶端)，用于通過RDP與受害者建立聯(lián)系。”

一旦受感染的Windows客戶端對C2服務器執(zhí)行ping命令，后者就會收到有關該計算機的各種詳細信息，例如其公共IP，位置，操作系統(tǒng)版本，計算機名稱和CPU型號。

Guardicore說，安裝在中國服務器上的兩個C2程序是兩個不同的供應商開發(fā)受害者，它們被遠程控制的過程有相似之處——下載文件，安裝新的Windows服務，鍵盤記錄，屏幕捕獲，激活攝像頭和麥克風。最后甚至會被發(fā)起DDoS攻擊。

使用強密碼來避免暴力攻擊

據(jù)發(fā)現(xiàn)，約五十萬臺運行MS-SQL數(shù)據(jù)庫服務的計算機被暴露，這表明攻擊者一直在盯著保護措施不佳的數(shù)據(jù)庫服務器，以竊取敏感信息。所以說，必須使用強大的數(shù)據(jù)憑證保護，以避免Internet的MS-SQL服務器被暴露。

Guardicore研究人員總結：“除獲取受害者CPU功能外，使這些數(shù)據(jù)庫服務器吸引了攻擊者的原因在于它們擁有大量數(shù)據(jù)。” 因為這些服務器用于存儲個人信息，例如用戶名，密碼，信用卡號等，只需簡單的暴力就被攻擊者再次進行破解!