僵尸网络Vollgar入侵微软近两年 每天有2-3千个数据库被攻陷
前不久,微软刚刚宣布联合 35 个国家摧毁了全球最大的僵尸网络之一 necurs,最近,微软却被僵尸网络 vollgar 盯上近两年。
僵尸网络 vollgar 入侵微软近两年,每天攻击近 3000个数据库
近日,guardicore labs 团队发布了一份长期攻击活动的分析报告,此攻击活动主要针对运行 ms-sql 服务的 windows 系统。分析报告称,此攻击活动至少从 2018 年 5 月开始,将近两年,这一系列的攻击活动被命名为“ vollgar ”。
vollgar 攻击首先在 ms-sql 服务器上进行暴力登录尝试,成功后,允许攻击者执行许多配置更改以运行恶意 ms-sql 命令并下载恶意软件二进制文件。
该恶意软件通过暴力破解技术成功获得控制权后,便使用这些数据库来挖掘加密货币。当前,正在开采的加密货币是 v-dimension(vollar)和 monero(门罗币)。
此外,vollgar 背后的攻击者还为 ms-sql 数据库以及具有较高特权的操作系统创建了新的后门账户。
初始设置完成后,攻击会继续创建下载器脚本(两个 vbscript 和一个 ftp 脚本),这些脚本将“多次”执行,每次在本地文件系统上使用不同的目标位置来避免可被发现。
其中一个名为 sqlagentidc.exe/sqlagentvdc.exe 的初始有效负载首先会杀死一长串进程,目的是确保最大数量的系统资源,消除其他威胁参与者的活动,并从受感染的计算机中删除它们的存在。
值得注意的是,61% 的计算机仅感染了 2 天或更短的时间,21% 的计算机感染了 7-14 天以上,其中 17.1% 的计算机受到了重复感染。后一种情况可能是由于缺乏适当的安全措施而导致在首次感染服务器时无法彻底消除该恶意软件。
报告中称,每天有 2-3 千个数据库在 vollgar 攻击活动中被攻陷,其中包括中国、印度、韩国、土耳其和美国等国家,受影响的行业涵盖医疗、航空、it、电信、教育等多个领域。
除了消耗 cpu 资源挖矿之外,这些数据库服务器吸引攻击者的原因还在于它们拥有的大量数据。这些机器可能存储个人信息,例如用户名、密码、信用卡号等,这些信息仅需简单的暴力就可以落入攻击者的手中。
有点可怕。
如何自查?
那么,有没有什么办法能提前抵御这种攻击呢?
雷锋网了解到,为了帮助感染者,guardicore labs 还提供了 powershell 自查脚本 script - detect_vollgar.ps1,自查脚本 detect_vollgar.ps1 可实现本地攻击痕迹检测,检测内容如下:
1. 文件系统中的恶意 payload ;
2.恶意服务进程任务名;
3. 后门用户名。
附脚本下载链接:
https://github.com/guardicore/labs_campaigns/tree/master/vollgar
同时,该库还提供了脚本运行指南和行动建议,其中包括:
立即隔离受感染的计算机,并阻止其访问网络中的其他资产。
将所有 ms-sql 用户帐户密码更改为强密码,以避免被此攻击或其他暴力攻击再次感染。
关闭数据库账号登录方式,以 windows 身份验证方式登录数据库,并在 windows 策略里设置密码强度。
加强网络边界入侵防范和管理,在网络出入口设置防火墙等网络安全设备,对不必要的通讯予以阻断。
对暴露在互联网上的网络设备、服务器、操作系统和应用系统进行安全排查,包括但不限漏洞扫描、木马监测、配置核查、web 漏洞检测、网站渗透测试等。
加强安全管理,建立网络安全应急处置机制,启用网络和运行日志审计,安排网络值守,做好监测措施,及时发现攻击风险,及时处理。
集创创亿新里程 ICN2026累计出货量超亿颗
物联网及智能家居和可穿戴应用的相关性
AI芯片 CPU+xPU的异构方案全面解析
5G发展预测,网络将重回有线行业本源
领存X7 2.5寸NVME固态硬盘产品介绍
僵尸网络Vollgar入侵微软近两年 每天有2-3千个数据库被攻陷
pcb覆铜步骤
一加手机“叫好”不“叫座”,只看产品,不看爆炸
生物发光毒性检测仪如何选择
新能源汽车国家监管平台建设顺利通过验收
当心健康数据泄露!加固平板助力医疗保健保护患者隐私
LED应用过程中的常见问题解析
Synaptics Natural ID指纹传感器获得业界首个银行卡检测中心认证
手机拍照技术新升级,全像素双核疾速对焦技术才是正确的拍照姿势
过程分析仪器CAN网络通信设计
华米首次公开招股最大募资额为1.38亿美元
澳柯玛推出的一款中式智能互联冰箱 开启全新智慧生活
鉴别LED电子屏质量的六项指标
六维力/六轴力传感器的侧重方式
科锐2019财年第三季度营收18.45亿,同比增长22%
僵尸网络 vollgar 入侵微软近两年,每天攻击近 3000个数据库
近日,guardicore labs 团队发布了一份长期攻击活动的分析报告,此攻击活动主要针对运行 ms-sql 服务的 windows 系统。分析报告称,此攻击活动至少从 2018 年 5 月开始,将近两年,这一系列的攻击活动被命名为“ vollgar ”。
vollgar 攻击首先在 ms-sql 服务器上进行暴力登录尝试,成功后,允许攻击者执行许多配置更改以运行恶意 ms-sql 命令并下载恶意软件二进制文件。
该恶意软件通过暴力破解技术成功获得控制权后,便使用这些数据库来挖掘加密货币。当前,正在开采的加密货币是 v-dimension(vollar)和 monero(门罗币)。
此外,vollgar 背后的攻击者还为 ms-sql 数据库以及具有较高特权的操作系统创建了新的后门账户。
初始设置完成后,攻击会继续创建下载器脚本(两个 vbscript 和一个 ftp 脚本),这些脚本将“多次”执行,每次在本地文件系统上使用不同的目标位置来避免可被发现。
其中一个名为 sqlagentidc.exe/sqlagentvdc.exe 的初始有效负载首先会杀死一长串进程,目的是确保最大数量的系统资源,消除其他威胁参与者的活动,并从受感染的计算机中删除它们的存在。
值得注意的是,61% 的计算机仅感染了 2 天或更短的时间,21% 的计算机感染了 7-14 天以上,其中 17.1% 的计算机受到了重复感染。后一种情况可能是由于缺乏适当的安全措施而导致在首次感染服务器时无法彻底消除该恶意软件。
报告中称,每天有 2-3 千个数据库在 vollgar 攻击活动中被攻陷,其中包括中国、印度、韩国、土耳其和美国等国家,受影响的行业涵盖医疗、航空、it、电信、教育等多个领域。
除了消耗 cpu 资源挖矿之外,这些数据库服务器吸引攻击者的原因还在于它们拥有的大量数据。这些机器可能存储个人信息,例如用户名、密码、信用卡号等,这些信息仅需简单的暴力就可以落入攻击者的手中。
有点可怕。
如何自查?
那么,有没有什么办法能提前抵御这种攻击呢?
雷锋网了解到,为了帮助感染者,guardicore labs 还提供了 powershell 自查脚本 script - detect_vollgar.ps1,自查脚本 detect_vollgar.ps1 可实现本地攻击痕迹检测,检测内容如下:
1. 文件系统中的恶意 payload ;
2.恶意服务进程任务名;
3. 后门用户名。
附脚本下载链接:
https://github.com/guardicore/labs_campaigns/tree/master/vollgar
同时,该库还提供了脚本运行指南和行动建议,其中包括:
立即隔离受感染的计算机,并阻止其访问网络中的其他资产。
将所有 ms-sql 用户帐户密码更改为强密码,以避免被此攻击或其他暴力攻击再次感染。
关闭数据库账号登录方式,以 windows 身份验证方式登录数据库,并在 windows 策略里设置密码强度。
加强网络边界入侵防范和管理,在网络出入口设置防火墙等网络安全设备,对不必要的通讯予以阻断。
对暴露在互联网上的网络设备、服务器、操作系统和应用系统进行安全排查,包括但不限漏洞扫描、木马监测、配置核查、web 漏洞检测、网站渗透测试等。
加强安全管理,建立网络安全应急处置机制,启用网络和运行日志审计,安排网络值守,做好监测措施,及时发现攻击风险,及时处理。
集创创亿新里程 ICN2026累计出货量超亿颗
物联网及智能家居和可穿戴应用的相关性
AI芯片 CPU+xPU的异构方案全面解析
5G发展预测,网络将重回有线行业本源
领存X7 2.5寸NVME固态硬盘产品介绍
僵尸网络Vollgar入侵微软近两年 每天有2-3千个数据库被攻陷
pcb覆铜步骤
一加手机“叫好”不“叫座”,只看产品,不看爆炸
生物发光毒性检测仪如何选择
新能源汽车国家监管平台建设顺利通过验收
当心健康数据泄露!加固平板助力医疗保健保护患者隐私
LED应用过程中的常见问题解析
Synaptics Natural ID指纹传感器获得业界首个银行卡检测中心认证
手机拍照技术新升级,全像素双核疾速对焦技术才是正确的拍照姿势
过程分析仪器CAN网络通信设计
华米首次公开招股最大募资额为1.38亿美元
澳柯玛推出的一款中式智能互联冰箱 开启全新智慧生活
鉴别LED电子屏质量的六项指标
六维力/六轴力传感器的侧重方式
科锐2019财年第三季度营收18.45亿,同比增长22%