最新消息：一个密码挖掘僵尸网络劫持MSSQL服务器已经快两年了

自2018年5月以来，一个恶意僵尸网络一直在对Microsoft SQL (MSSQL)数据库发起强力攻击，以接管管理帐户，然后在底层操作系统上安装加密货币挖掘脚本。

(资料图)

今天，网络安全公司Guardicore发布了一份与ZDNet共享的报告，其中详细介绍了僵尸网络，它仍然活跃，每天感染大约3000个新的MSSQL数据库。

Guardicore将这种僵尸网络命名为Vollgar，是基于它倾向于将Vollar (VDS)加密货币与Monero (XMR)(当今大多数僵尸网络开采的事实上的次元硬币)一起开采。

Guardicore网络安全研究员奥菲尔•哈帕兹表示:“在这两年的活动中，攻击流程保持了类似的——彻底、周密、嘈杂。”

试图猜测MSSQL服务器密码的暴力攻击已经席卷了整个互联网。Guardicore说，自2018年5月以来，他们已经有超过120个IP地址用于发起攻击，其中大多数IP来自中国。

Harpaz说:“这些很有可能是受损的机器，用来扫描和感染新的受害者。”“虽然其中一些是短暂的，只造成了几起事故，但几个信息源ip活跃了三个多月。”

Harpaz说，僵尸网络一直在不断地搅动，僵尸网络每天都在丢失服务器，并增加新的服务器。根据Guardicore的数据，超过60%的被劫持的MSSQL服务器仍然受到Vollgar密码挖掘恶意软件的感染，感染时间很短，最多两天。

Harpaz说，然而，几乎有20%的MSSQL系统的感染持续时间超过一周，甚至更长。Harpaz认为，这是因为Vollgar恶意软件成功地伪装了自己，避开了本地安全软件，或者数据库一开始就没有运行。

然而，《卫报》的研究人员也指出了另一个有趣的统计数据——10%的受害者再次被恶意软件感染。

Harpaz说，这种情况经常发生，因为管理员没有正确地删除所有的恶意软件模块，为恶意软件的重新安装留下了余地。

为了帮助MSSQL受害者管理员，Guardicore发布了一个GitHub存储库，其中包含脚本，用于检测由Vollgar恶意软件在受感染的主机上创建的文件和后门账户。

这是自2017年5月以来，Guardicore发现的第五个专门针对MSSQL数据库的加密货币挖掘僵尸网络。以前的僵尸网络包括Bondnet、Hex-Men、Smominru和Nansh0u等。

然而，在本周接受ZDNet的采访时，Harpaz认为密码挖掘僵尸网络的数量远远超过了30个。总而言之，Guardicore的研究人员表示，这些僵尸网络每天控制着全球数千乃至数万台机器。

大多数这些密码挖掘僵尸网络不会将自己归类到特定的服务器技术中——比如Vollgar僵尸网络，它的主要目标是MSSQL数据库。

僵尸网络扫描的目标是广泛的服务器软件，它们将这些软件作为植入恶意软件的入口。Harpaz说，根据来自Guardicore全球传感器网络的数据，前5个被扫描最多的端口/协议是SSH、SMB、FTP、HTTP和MS-SQL。

Harpaz告诉ZDNet:“很难说这些扫描是否每一次都发展成为一种加密攻击——但我们的经验表明，这种类型的攻击为威胁行动者获取利润提供了最直接的攻击载体。”

研究人员补充说:“加密小组正在寻找两样东西:有资源的机器和大规模的目标。”

数据库服务器和RDP服务器都倾向于运行在具有更高计算能力的机器上，这使它们能够更好地执行加密任务。

Harpaz告诉ZDNet:“攻击者如此渴望这些机器，以至于他们投入大量精力来破坏其他攻击组织的进程和文件，以获得对宝贵资源的完全控制。”Vollgar的代码中还出现了一个功能，可以删除竞争僵尸网络的脚本。

Harpaz告诉ZDNet，大多数僵尸网络仍然专注于挖掘Monero加密货币。然而，随着Monero越来越难以开采，一些组织开始尝试使用不太为人所知的硬币，如Vollar (Vollgar botnet)和TurtleCoin (Nansh0u)。

接下来，Harpaz表示，Guardicore计划公布更多关于其追踪的僵尸网络的数据，以提高整个行业的检测能力。

Harpaz告诉ZDNet:“我们目前正在开发一个新的僵尸网络百科全书，与安全社区共享我们独特的数据。”“这将包括活跃的和过去的活动，他们的时间跨度和相关的IOCs和更多。”

关键词：