KingMiner僵尸网络暴力破解微软SQL数据库安装挖矿程序

显示全部楼层 · 发表于 2020-6-10 18:02:58

英国网络安全公司Sophos今天在一份报告中表示，建议微软SQL数据库的所有者加强保护服务器的安全。该公司检测到一个以MSSQL数据库为目标的僵尸挖矿网络，该攻击使用蛮力攻击，试图猜测“ sa”（服务器管理员）帐户的密码。

xkuknewqqpp.jpg

一旦黑客闯入易受攻击的MSSQL系统，他们将创建另一个名为“ dbhelp”的数据库用户名，并安装一个加密货币挖矿程序，该程序会滥用服务器的资源来为攻击者牟利。
自2018年底以来，恶意挖矿程序一直很活跃Sophos表示，僵尸挖矿网络的名称为KingMiner，与先前在2018年末网络安全公司Check Point和2019年7月奇虎360安全部门的一份报告中记录的犯罪团伙相同。
尽管大多数恶意软件僵尸网络在活动仅几周或几个月后就消失了，但KingMiner的运营似乎已经为骗子赚了很多钱，甚至可以继续攻击直到今天。
此外，僵尸网络的代码也随着时间的流逝而发展，这表明黑客已投入资金来改进其攻击工具和例程。
Sophos说，KingMiner操作现在更加持久，并且能够在运行MSSQL数据库的基础Windows服务器上获得root用户。这是通过利用特权漏洞（例如CVE-2017-0213或CVE-2019-0803）的提升来完成的，这些漏洞会授予KingMiner恶意软件访问权限以执行具有管理员特权的代码。
Sophos表示，KingMiner运营商已添加此额外步骤，以防止其操作受到安全解决方案或可能感染同一服务器的其他僵尸网络的干扰。
KINGMINER尝试扩大访问范围KingMiner团伙当前正在扩展的另一个领域是将访问权限从MSSQL服务器扩展到公司被黑客入侵的网络上数据库所连接的其他系统。
KingMiner专注于扩展对内部网络的访问并不是什么新鲜事物，因为在许多其他加密货币挖矿僵尸网络中也发现了这种相同的行为。但是，目前，KingMiner尚处于实施此功能的初期阶段。
它以多种方式执行此操作。首先是KingMiner现在正在试验EternalBlue漏洞，该漏洞与2017年WannaCry和NotPetya勒索软件爆发中使用的漏洞相同。
EternalBlue允许攻击者通过其服务器消息块（SMB）协议实现中的错误来访问远程Windows系统。尽管自2017年以来已提供修复程序，但并非所有公司都愿意为易受攻击的系统打补丁。
僵尸网络尝试在本地扩展的第二种方法是在受感染的MSSQL服务器上下载其他工具和恶意软件。其中包括Mimikatz密码转储器，Gh0st远程访问木马和Gates后门木马。相信KingMiner这样做是为了窃取数据库服务器可能连接到的其他系统的密码。但是，Sophos说，这仍处于早期阶段。
这家安全公司说：“ Mimikatz的存在是一个新的发展，只有在最新的存储库中才能找到。我们还没有看到它被使用过，但下载脚本引用了它。这很可能正在进行中。”
KINGMINER为BLUEKEEP修补系统但是Sophos发现的最奇怪的功能是KingMiner操作员还扫描了受感染的系统，以查看它是否容易受到远程桌面协议中的BlueKeep漏洞的攻击。
如果发现系统容易受到攻击，则KingMiner攻击者将禁用对数据库的RDP访问，以防止服务器被其他恶意软件操作入侵。
总而言之，KingMiner表明，尽管XMR价格上涨和下跌，恶意软件僵尸挖矿网络仍在继续获利。这种获利使黑客有理由去研究易受攻击的系统，尤其是在MSSQL数据库之后。MSSQL数据库已成为加密挖矿僵尸网络针对性最强的服务器。
攻击MSSQL系统的其他僵尸网络包括Vollgar，Nansh0u，MyKings（Smominru）和MassMiner。
为了防止KingMiner的攻击，最简单的方法是使用强密码保护sa帐户。该SA帐户被认为是与账户一个MSSQL系统的最高权限，并应相应担保。
Sophos最近的报告中提供了针对最近的KingMiner攻击的危害指标，报告原文见此PDF。

KingMiner僵尸网络暴力破解微软SQL数据库安装挖矿程序

相关帖子