微软数据库被僵尸网络侵略两年张狂挖矿

前不久，微软刚刚宣告联合35个国家摧毁了全球最大的僵尸网络之一 Necurs，最近，微软却被僵尸网络 Vollgar 盯上近两年。

僵尸网络 Vollgar侵略微软近两年，每天进犯近3000个数据库

近来，Guardicore Labs 团队发布了一份长时刻进犯活动的剖析陈述，此进犯活动首要针对运转 MS-SQL 服务的 Windows 体系。剖析陈述称，此进犯活动至少从2018年5月开端，将近两年，这一系列的进犯活动被命名为“ Vollgar ”。

Vollgar 进犯首先在 MS-SQL 服务器上进行暴力登录测验，成功后，答应进犯者履行许多装备更改以运转歹意 MS-SQL 指令并下载歹意软件二进制文件。

该歹意软件经过暴力破解技能成功取得控制权后，便运用这些数据库来发掘加密钱银。当时，正在挖掘的加密钱银是 V-Dimension（Vollar）和 Monero（门罗币）。

此外，Vollgar 背面的进犯者还为 MS-SQL 数据库以及具有较高特权的操作体系创立了新的后门账户。

初始设置完成后，进犯会持续创立下载器脚本(两个 VBscript 和一个 FTP 脚本)，这些脚本将“屡次”履行，每次在本地文件体系上运用不同的方针方位来防止可被发现。

其间一个名为 SQLAGENTIDC.exe/SQLAGENTVDC.exe 的初始有用负载首先会杀死一长串进程，意图是保证最大数量的体系资源，消除其他要挟参与者的活动，并从受感染的计算机中删去它们的存在。

有必要留意一下的是，61％ 的计算机仅感染了2天或更短的时刻，21％ 的计算机感染了7-14天以上，其间17.1％ 的计算机受到了重复感染。后一种状况或许是因为缺少恰当的安全办法而导致在初次感染服务器时无法彻底消除该歹意软件。

陈述中称，每天有2-3千个数据库在 Vollgar 进犯活动中被攻陷，这中心还包含我国、印度、韩国、土耳其和美国等国家，受影响的职业包含医疗、航空、IT、电信、教育等多个范畴。

除了耗费 CPU 资源挖矿之外，这些数据库服务器招引进犯者的原因还在于它们具有的很多数据。这些机器或许存储个人隐私信息，例如用户名、暗码、信誉卡号等，这些信息仅需简略的暴力就可以落入进犯者的手中。

有点可怕。

怎么自查？

那么，有没什么方法能提早抵挡这种进犯呢？

雷锋网了解到，为了协助感染者，Guardicore Labs还供给了 PowerShell 自查脚本 script - detect_vollgar.ps1，自查脚本 detect_vollgar.ps1可完成本地进犯痕迹检测，检测内容如下：

1. 文件体系中的歹意 payload ；

2.歹意服务进程使命名；

3. 后门用户名。

附脚本下载链接：

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

一起，该库还供给了脚本运转指南和举动主张，这中心还包含：

当即阻隔受感染的计算机，并阻挠其拜访网络中的其他财物。

将一切 MS-SQL 用户帐户暗码更改为强暗码，以防止被此进犯或其他暴力进犯再次感染。

封闭数据库账号登录方法，以 windows 身份验证方法登录数据库，并在 windows 战略里设置暗码强度。

加强网络鸿沟侵略防备和办理，在网络出入口设置防火墙等网络安全设备，对不必要的通讯予以阻断。

对暴露在互联网上的网络设备、服务器、操作体系和使用体系进行安全排查，包含但不限缝隙扫描、木马监测、装备核对、WEB 缝隙检测、网站浸透测验等。

加强安全办理，树立网络安全应急处置机制，启用网络和运转日志审计，组织网络值守，做好监测办法，及时发现进犯危险，及时处理。