Vollgar僵尸挖矿网络已劫持微软SQL服务器两年之久

显示全部楼层 · 发表于 2020-4-2 14:01:42

自2018年5月以来，一个名为Vollgar的恶意软件僵尸网络一直在对Microsoft SQL（MSSQL）数据库发起暴力网络攻击，以接管管理员帐户，然后在基础操作系统上安装数字货币挖矿脚本。

bnnxkm5rejq.jpg

网络安全公司Guardicore今天发布的一份报告对该僵尸网络进行了详细介绍，并与ZDNet共享。目前僵尸网络仍处于活动状态，每天感染大约3,000个新的MSSQL数据库。Guardicore基于其倾向于开采Volero（VDS）以及Monero（门罗币）（当今大多数挖矿脚本开采的数字货币）而将该僵尸网络命名Vollgar。

atmg11odp3f.jpg

Guardicore的网络安全研究员Ophir Harpaz说：“在为期两年的活动中，该僵尸网络活动的攻击流程一直非常相似-经过精心计划且复杂。”

试图猜测MSSQL服务器密码的蛮力攻击席卷了整个互联网世界。 Guardicore表示，自2018年5月以来，他们拥有用于发起攻击的120多个IP地址，其中大多数IP来自中国。

哈帕兹说：“这些很可能是已经被淘汰的机器，被重新设计用于扫描和感染新的受害者。” “尽管其中一些是短暂的并且仅对几起事件负责，但几个源IP活跃了三个多月之久。”

GITHUB上已经提供了僵尸网络的检测脚本
Harpaz说，僵尸网络一直处于混乱状态，僵尸网络每天不断抛弃旧服务器并添加新服务器。根据Guardicore的说法，所有被劫持的MSSQL服务器中，超过60％的病毒仅隔两天后仍会被Vollgar加密挖矿恶意软件感染。

Harpaz说，所有MSSQL系统中几乎有20％的服务器被病毒感染时间超过一周甚至更长。 Harpaz认为，这是因为Vollgar挖矿恶意软件设法从本地安全软件中伪装自己，或者在数据库中没有首先运行。

但是，Guardicore研究人员还指出了另一个有趣的统计数据-所有受害者中有10％再次感染了该恶意软件。

Harpaz说，这通常是由于管理员没有正确删除恶意软件的所有模块，而为恶意软件自行重新安装留有余地。

为了帮助受害者MSSQL管理员，Guardicore发布了一个包含脚本的GitHub存储库，以检测由Vollgar恶意软件在受感染主机上创建的文件和后门帐户。

GUARDICORE追踪的加密货币恶意挖矿软件超过30个

这是自2017年5月以来第五个专门针对Guardicore已发现的MSSQL数据库的加密货币挖矿僵尸网络。以前的僵尸网络包括Bondnet，Hex-Men，Smominru和Nansh0u。

但是，在本周接受ZDNet采访时，Harpaz指出，加密挖矿僵尸网络的数量远远超过30个。Guardicore研究人员说，这些僵尸网络每天控制着全球成千上万台废旧机器。

这些加密挖矿僵尸网络大多数都不会对特定的服务器产生兴趣，例如Vollgar僵尸网络主要针对MSSQL所有数据库服务。

僵尸网络扫描针对广泛的服务器软件，它们用服务器软件作植入恶意软件的入口。 Harpaz说，根据来自Guardicore的全球传感器网络的数据，扫描次数最多的5个端口/协议是SSH，SMB，FTP，火币全球生态通证TP和MS-SQL。

vfqte0pgf03.jpg

Harpaz告诉ZDNet：“很难说这些扫描中的每一个是否都会发展成一种加密挖矿攻击，但是我们的经验表明，这种使威胁行为者获利的类型攻击是最直接的攻击媒介。”
研究人员补充说：“加密货币投机组织正在寻找两件事：资源丰富的废旧机器和大规模的服务器目标。”

“数据库服务器以及RDP服务器都倾向于在具有更高计算能力的计算机上运行，从而使它们成为执行加密挖矿任务的更好的工作者。”

Harpaz告诉ZDNet：“攻击者对这些机器的渴望如此之大，以至于他们投入了巨大的精力来破坏其他攻击组的进程和文件，以完全控制宝贵的资源。 Vollgar的代码中还提供了删除竞争性僵尸网络脚本的功能。

Harpaz告诉ZDNet，大多数僵尸网络仍然专注于挖掘Monero加密货币。但是，由于Monero逐渐变得越来越难以开采，各组织已尝试使用鲜为人知的挖矿币中，例如Volero和TurtleMaximine（Nansh0u）。

展望未来，Harpaz表示，Guardicore计划在它一直跟踪的僵尸网络上发布更多数据，以期改善整个行业的检测能力。

“我们目前正在研究一个新的僵尸网络百科全书，以与安全社区共享我们的独特数据，” Harpaz告诉ZDNet。 “这将包括活跃和过去的竞争活动，他们的时间跨度以及相关的国际组织等等。”

Vollgar僵尸挖矿网络已劫持微软SQL服务器两年之久

相关帖子