前不久，微軟剛剛宣布聯(lián)合 35 個國家摧毀了全球最大的僵尸網(wǎng)絡之一 Necurs，最近，微軟卻被僵尸網(wǎng)絡 Vollgar 盯上近兩年。

僵尸網(wǎng)絡 Vollgar 入侵微軟近兩年，每天攻擊近 3000個數(shù)據(jù)庫

近日，Guardicore Labs 團隊發(fā)布了一份長期攻擊活動的分析報告，此攻擊活動主要針對運行 MS-SQL 服務的 Windows 系統(tǒng)。分析報告稱，此攻擊活動至少從 2018 年 5 月開始，將近兩年，這一系列的攻擊活動被命名為“ Vollgar ”。

Vollgar 攻擊首先在 MS-SQL 服務器上進行暴力登錄嘗試，成功后，允許攻擊者執(zhí)行許多配置更改以運行惡意 MS-SQL 命令并下載惡意軟件二進制文件。

該惡意軟件通過暴力破解技術(shù)成功獲得控制權(quán)后，便使用這些數(shù)據(jù)庫來挖掘加密貨幣。當前，正在開采的加密貨幣是 V-Dimension（Vollar）和 Monero（門羅幣）。

此外，Vollgar 背后的攻擊者還為 MS-SQL 數(shù)據(jù)庫以及具有較高特權(quán)的操作系統(tǒng)創(chuàng)建了新的后門賬戶。

初始設置完成后，攻擊會繼續(xù)創(chuàng)建下載器腳本(兩個 VBScript 和一個 FTP 腳本)，這些腳本將“多次”執(zhí)行，每次在本地文件系統(tǒng)上使用不同的目標位置來避免可被發(fā)現(xiàn)。

其中一個名為 SQLAGENTIDC.exe/SQLAGENTVDC.exe 的初始有效負載首先會殺死一長串進程，目的是確保最大數(shù)量的系統(tǒng)資源，消除其他威脅參與者的活動，并從受感染的計算機中刪除它們的存在。

值得注意的是，61％ 的計算機僅感染了 2 天或更短的時間，21％ 的計算機感染了 7-14 天以上，其中 17.1％ 的計算機受到了重復感染。后一種情況可能是由于缺乏適當?shù)陌踩胧┒鴮е略谑状胃腥痉掌鲿r無法徹底消除該惡意軟件。

報告中稱，每天有 2-3 千個數(shù)據(jù)庫在 Vollgar 攻擊活動中被攻陷，其中包括中國、印度、韓國、土耳其和美國等國家，受影響的行業(yè)涵蓋醫(yī)療、航空、IT、電信、教育等多個領域。

除了消耗 CPU 資源挖礦之外，這些數(shù)據(jù)庫服務器吸引攻擊者的原因還在于它們擁有的大量數(shù)據(jù)。這些機器可能存儲個人信息，例如用戶名、密碼、信用卡號等，這些信息僅需簡單的暴力就可以落入攻擊者的手中。

有點可怕。

如何自查？

那么，有沒有什么辦法能提前抵御這種攻擊呢？

雷鋒網(wǎng)了解到，為了幫助感染者，Guardicore Labs 還提供了 PowerShell 自查腳本 Script - detect_vollgar.ps1，自查腳本 detect_vollgar.ps1 可實現(xiàn)本地攻擊痕跡檢測，檢測內(nèi)容如下：

1. 文件系統(tǒng)中的惡意 payload ；

2.惡意服務進程任務名；

3. 后門用戶名。

附腳本下載鏈接：

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

同時，該庫還提供了腳本運行指南和行動建議，其中包括：

立即隔離受感染的計算機，并阻止其訪問網(wǎng)絡中的其他資產(chǎn)。

將所有 MS-SQL 用戶帳戶密碼更改為強密碼，以避免被此攻擊或其他暴力攻擊再次感染。

關(guān)閉數(shù)據(jù)庫賬號登錄方式，以 windows 身份驗證方式登錄數(shù)據(jù)庫，并在 windows 策略里設置密碼強度。

加強網(wǎng)絡邊界入侵防范和管理，在網(wǎng)絡出入口設置防火墻等網(wǎng)絡安全設備，對不必要的通訊予以阻斷。

對暴露在互聯(lián)網(wǎng)上的網(wǎng)絡設備、服務器、操作系統(tǒng)和應用系統(tǒng)進行安全排查，包括但不限漏洞掃描、木馬監(jiān)測、配置核查、WEB 漏洞檢測、網(wǎng)站滲透測試等。

加強安全管理，建立網(wǎng)絡安全應急處置機制，啟用網(wǎng)絡和運行日志審計，安排網(wǎng)絡值守，做好監(jiān)測措施，及時發(fā)現(xiàn)攻擊風險，及時處理。