搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復(fù)
      VIP于 到期 續(xù)費(fèi)
      登錄后你可以
      • 下載海量資料
      • 學(xué)習(xí)在線課程
      • 觀看技術(shù)視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認(rèn)識你,還能領(lǐng)取20積分哦,立即完善>

      3天內(nèi)不再提示

      僵尸網(wǎng)絡(luò)Vollgar入侵微軟近兩年 每天有2-3千個數(shù)據(jù)庫被攻陷

      工程師鄧生 ? 來源:雷鋒網(wǎng) ? 作者:劉琳 ? 2020-04-08 09:32 ? 次閱讀

      前不久,微軟剛剛宣布聯(lián)合 35 個國家摧毀了全球最大的僵尸網(wǎng)絡(luò)之一 Necurs,最近,微軟卻被僵尸網(wǎng)絡(luò) Vollgar 盯上近兩年。

      僵尸網(wǎng)絡(luò) Vollgar 入侵微軟近兩年,每天攻擊近 3000個數(shù)據(jù)庫

      近日,Guardicore Labs 團(tuán)隊發(fā)布了一份長期攻擊活動的分析報告,此攻擊活動主要針對運(yùn)行 MS-SQL 服務(wù)的 Windows 系統(tǒng)。分析報告稱,此攻擊活動至少從 2018 年 5 月開始,將近兩年,這一系列的攻擊活動被命名為“ Vollgar ”。

      Vollgar 攻擊首先在 MS-SQL 服務(wù)器上進(jìn)行暴力登錄嘗試,成功后,允許攻擊者執(zhí)行許多配置更改以運(yùn)行惡意 MS-SQL 命令并下載惡意軟件二進(jìn)制文件。

      僵尸網(wǎng)絡(luò)Vollgar入侵微軟近兩年 每天有2-3千個數(shù)據(jù)庫被攻陷

      該惡意軟件通過暴力破解技術(shù)成功獲得控制權(quán)后,便使用這些數(shù)據(jù)庫來挖掘加密貨幣。當(dāng)前,正在開采的加密貨幣是 V-Dimension(Vollar)和 Monero(門羅幣)。

      此外,Vollgar 背后的攻擊者還為 MS-SQL 數(shù)據(jù)庫以及具有較高特權(quán)的操作系統(tǒng)創(chuàng)建了新的后門賬戶。

      初始設(shè)置完成后,攻擊會繼續(xù)創(chuàng)建下載器腳本(兩個 VBScript 和一個 FTP 腳本),這些腳本將“多次”執(zhí)行,每次在本地文件系統(tǒng)上使用不同的目標(biāo)位置來避免可被發(fā)現(xiàn)。

      其中一個名為 SQLAGENTIDC.exe/SQLAGENTVDC.exe 的初始有效負(fù)載首先會殺死一長串進(jìn)程,目的是確保最大數(shù)量的系統(tǒng)資源,消除其他威脅參與者的活動,并從受感染的計算機(jī)中刪除它們的存在。

      值得注意的是,61% 的計算機(jī)僅感染了 2 天或更短的時間,21% 的計算機(jī)感染了 7-14 天以上,其中 17.1% 的計算機(jī)受到了重復(fù)感染。后一種情況可能是由于缺乏適當(dāng)?shù)陌踩胧┒鴮?dǎo)致在首次感染服務(wù)器時無法徹底消除該惡意軟件。

      報告中稱,每天有 2-3 千個數(shù)據(jù)庫在 Vollgar 攻擊活動中被攻陷,其中包括中國、印度、韓國、土耳其和美國等國家,受影響的行業(yè)涵蓋醫(yī)療、航空、IT、電信、教育等多個領(lǐng)域。

      除了消耗 CPU 資源挖礦之外,這些數(shù)據(jù)庫服務(wù)器吸引攻擊者的原因還在于它們擁有的大量數(shù)據(jù)。這些機(jī)器可能存儲個人信息,例如用戶名、密碼、信用卡號等,這些信息僅需簡單的暴力就可以落入攻擊者的手中。

      有點(diǎn)可怕。

      如何自查?

      那么,有沒有什么辦法能提前抵御這種攻擊呢?

      雷鋒網(wǎng)了解到,為了幫助感染者,Guardicore Labs 還提供了 PowerShell 自查腳本 Script - detect_vollgar.ps1,自查腳本 detect_vollgar.ps1 可實現(xiàn)本地攻擊痕跡檢測,檢測內(nèi)容如下:

      1. 文件系統(tǒng)中的惡意 payload ;

      2.惡意服務(wù)進(jìn)程任務(wù)名;

      3. 后門用戶名。

      附腳本下載鏈接:

      https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

      同時,該庫還提供了腳本運(yùn)行指南和行動建議,其中包括:

      立即隔離受感染的計算機(jī),并阻止其訪問網(wǎng)絡(luò)中的其他資產(chǎn)。

      將所有 MS-SQL 用戶帳戶密碼更改為強(qiáng)密碼,以避免被此攻擊或其他暴力攻擊再次感染。

      關(guān)閉數(shù)據(jù)庫賬號登錄方式,以 windows 身份驗證方式登錄數(shù)據(jù)庫,并在 windows 策略里設(shè)置密碼強(qiáng)度。

      加強(qiáng)網(wǎng)絡(luò)邊界入侵防范和管理,在網(wǎng)絡(luò)出入口設(shè)置防火墻等網(wǎng)絡(luò)安全設(shè)備,對不必要的通訊予以阻斷。

      對暴露在互聯(lián)網(wǎng)上的網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作系統(tǒng)和應(yīng)用系統(tǒng)進(jìn)行安全排查,包括但不限漏洞掃描、木馬監(jiān)測、配置核查、WEB 漏洞檢測、網(wǎng)站滲透測試等。

      加強(qiáng)安全管理,建立網(wǎng)絡(luò)安全應(yīng)急處置機(jī)制,啟用網(wǎng)絡(luò)和運(yùn)行日志審計,安排網(wǎng)絡(luò)值守,做好監(jiān)測措施,及時發(fā)現(xiàn)攻擊風(fēng)險,及時處理。

      責(zé)任編輯:wv

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學(xué)習(xí)之用,如有內(nèi)容侵權(quán)或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 微軟
        +關(guān)注

        關(guān)注

        4

        文章

        6602

        瀏覽量

        104152
      • 僵尸網(wǎng)絡(luò)
        +關(guān)注

        關(guān)注

        0

        文章

        18

        瀏覽量

        8946
      收藏 人收藏

        評論

        相關(guān)推薦

        數(shù)據(jù)庫加密辦法

        企業(yè)對于數(shù)據(jù)的重視程度不言而喻,也衍生出了數(shù)據(jù)=資產(chǎn)的概念。但是數(shù)據(jù)泄漏的事件頻繁發(fā)生,為了保護(hù)數(shù)據(jù)資產(chǎn),企業(yè)必要對
        的頭像 發(fā)表于 12-24 09:47 ?89次閱讀

        如何使用cmp進(jìn)行數(shù)據(jù)庫管理的技巧

        你在使用 cmp 命令時進(jìn)行有效的數(shù)據(jù)庫管理。 1. 理解 cmp 命令 cmp 命令用于比較兩個文件是否在內(nèi)容上完全相同。它逐字節(jié)比較文件,并在找到第一不同的地方時停止。這對于檢查數(shù)據(jù)庫
        的頭像 發(fā)表于 12-17 09:31 ?127次閱讀

        數(shù)據(jù)庫數(shù)據(jù)恢復(fù)—Mysql數(shù)據(jù)庫表記錄丟失的數(shù)據(jù)恢復(fù)流程

        Mysql數(shù)據(jù)庫故障: Mysql數(shù)據(jù)庫表記錄丟失。 Mysql數(shù)據(jù)庫故障表現(xiàn): 1、Mysql數(shù)據(jù)庫表中無任何數(shù)據(jù)或只有部分
        的頭像 發(fā)表于 12-16 11:05 ?175次閱讀
        <b class='flag-5'>數(shù)據(jù)庫</b><b class='flag-5'>數(shù)據(jù)</b>恢復(fù)—Mysql<b class='flag-5'>數(shù)據(jù)庫</b>表記錄丟失的<b class='flag-5'>數(shù)據(jù)</b>恢復(fù)流程

        數(shù)據(jù)庫數(shù)據(jù)恢復(fù)—MYSQL數(shù)據(jù)庫ibdata1文件損壞的數(shù)據(jù)恢復(fù)案例

        mysql數(shù)據(jù)庫故障: mysql數(shù)據(jù)庫文件ibdata1、MYI、MYD損壞。 故障表現(xiàn):1、數(shù)據(jù)庫無法進(jìn)行查詢等操作;2、使用mysqlcheck和myisamchk無法修復(fù)
        的頭像 發(fā)表于 12-09 11:05 ?174次閱讀

        數(shù)據(jù)庫數(shù)據(jù)恢復(fù)—通過拼接數(shù)據(jù)庫碎片恢復(fù)SQLserver數(shù)據(jù)庫

        運(yùn)行在存儲上的SQLServer數(shù)據(jù)庫,1000多個文件,大小幾十TB。數(shù)據(jù)庫每10天生成一NDF文件,每個NDF幾百GB大小。
        的頭像 發(fā)表于 10-31 13:21 ?255次閱讀
        <b class='flag-5'>數(shù)據(jù)庫</b><b class='flag-5'>數(shù)據(jù)</b>恢復(fù)—通過拼接<b class='flag-5'>數(shù)據(jù)庫</b>碎片恢復(fù)SQLserver<b class='flag-5'>數(shù)據(jù)庫</b>

        數(shù)據(jù)庫數(shù)據(jù)恢復(fù)—SQL Server數(shù)據(jù)庫出現(xiàn)823錯誤的數(shù)據(jù)恢復(fù)案例

        SQL Server數(shù)據(jù)庫故障: SQL Server附加數(shù)據(jù)庫出現(xiàn)錯誤823,附加數(shù)據(jù)庫失敗。數(shù)據(jù)庫沒有備份,無法通過備份恢復(fù)數(shù)據(jù)庫。
        的頭像 發(fā)表于 09-20 11:46 ?365次閱讀
        <b class='flag-5'>數(shù)據(jù)庫</b><b class='flag-5'>數(shù)據(jù)</b>恢復(fù)—SQL Server<b class='flag-5'>數(shù)據(jù)庫</b>出現(xiàn)823錯誤的<b class='flag-5'>數(shù)據(jù)</b>恢復(fù)案例

        數(shù)據(jù)庫數(shù)據(jù)恢復(fù)—SqlServer數(shù)據(jù)庫底層File Record截斷為0的數(shù)據(jù)恢復(fù)案例

        SQL Server數(shù)據(jù)庫數(shù)據(jù)無法讀取。 經(jīng)過數(shù)據(jù)庫數(shù)據(jù)恢復(fù)工程師的初步檢測,發(fā)現(xiàn)SQL Server
        的頭像 發(fā)表于 07-26 11:27 ?407次閱讀
        <b class='flag-5'>數(shù)據(jù)庫</b><b class='flag-5'>數(shù)據(jù)</b>恢復(fù)—SqlServer<b class='flag-5'>數(shù)據(jù)庫</b>底層File Record<b class='flag-5'>被</b>截斷為0的<b class='flag-5'>數(shù)據(jù)</b>恢復(fù)案例

        恒訊科技分析:sql數(shù)據(jù)庫怎么用?

        2、安裝數(shù)據(jù)庫軟件: 在您的服務(wù)器或本地計算機(jī)上安裝所選的數(shù)據(jù)庫軟件。 3、配置數(shù)據(jù)庫服務(wù)器: 根據(jù)需要配置
        的頭像 發(fā)表于 07-15 14:40 ?373次閱讀

        數(shù)據(jù)庫數(shù)據(jù)恢復(fù)—SQL Server數(shù)據(jù)庫所在分區(qū)空間不足報錯的數(shù)據(jù)恢復(fù)案例

        SQL Server數(shù)據(jù)庫數(shù)據(jù)恢復(fù)環(huán)境: 某品牌服務(wù)器存儲中有組raid5磁盤陣列。操作系統(tǒng)層面跑著SQL Server數(shù)據(jù)庫,SQL Server
        的頭像 發(fā)表于 07-10 13:54 ?520次閱讀

        大模型卷價格,向量數(shù)據(jù)庫“卷”什么?

        大模型“帶飛”這一,向量數(shù)據(jù)庫才剛剛寫下序言
        的頭像 發(fā)表于 05-23 09:24 ?1794次閱讀
        大模型卷價格,向量<b class='flag-5'>數(shù)據(jù)庫</b>“卷”什么?

        數(shù)據(jù)庫數(shù)據(jù)恢復(fù)—raid5陣列上層Sql Server數(shù)據(jù)庫數(shù)據(jù)恢復(fù)案例

        。 數(shù)據(jù)庫故障: 數(shù)據(jù)庫文件丟失,主要涉及3個數(shù)據(jù)庫,數(shù)張表。數(shù)據(jù)庫文件丟失原因未知,
        的頭像 發(fā)表于 05-08 11:43 ?523次閱讀
        <b class='flag-5'>數(shù)據(jù)庫</b><b class='flag-5'>數(shù)據(jù)</b>恢復(fù)—raid5陣列上層Sql Server<b class='flag-5'>數(shù)據(jù)庫</b><b class='flag-5'>數(shù)據(jù)</b>恢復(fù)案例

        數(shù)據(jù)庫數(shù)據(jù)恢復(fù)—ndf文件大小變?yōu)?KB的數(shù)據(jù)恢復(fù)案例

        存儲設(shè)備損壞導(dǎo)致存儲中SQL Server數(shù)據(jù)庫崩潰。對數(shù)據(jù)庫文件進(jìn)行恢復(fù)后,用戶發(fā)現(xiàn)有4ndf文件的大小變?yōu)?KB。該SQL Server數(shù)據(jù)庫每10天生成一
        的頭像 發(fā)表于 05-07 11:19 ?428次閱讀

        ?通過Modbus讀寫數(shù)據(jù)庫中的數(shù)據(jù)

        ,‘IP/站號/組’相同的號碼即為同一組。 第1、2組查詢‘plcdata’、‘plcdata2兩個表,每個表查詢3個數(shù)據(jù),通過‘查詢結(jié)果
        發(fā)表于 03-14 13:44

        傳感器之外—兩個數(shù)據(jù)庫之間的“連接”查詢

        年后的小編在寫一些代碼,沒有及時更新我們的公眾號,干脆,先把其中涉及到數(shù)據(jù)庫的的一些操作,尤其是不同數(shù)據(jù)庫,多個表的“連接”查詢的操作過程小結(jié)一下供各位參考。畢竟今天這個數(shù)據(jù)時代,大量數(shù)據(jù)
        的頭像 發(fā)表于 03-12 14:54 ?521次閱讀
        傳感器之外—<b class='flag-5'>兩個數(shù)據(jù)庫</b>之間的“連接”查詢

        數(shù)據(jù)庫數(shù)據(jù)恢復(fù)】Oracle數(shù)據(jù)庫ASM實例無法掛載的數(shù)據(jù)恢復(fù)案例

        oracle數(shù)據(jù)庫ASM磁盤組掉線,ASM實例不能掛載。數(shù)據(jù)庫管理員嘗試修復(fù)數(shù)據(jù)庫,但是沒有成功。
        的頭像 發(fā)表于 02-01 17:39 ?533次閱讀
        【<b class='flag-5'>數(shù)據(jù)庫</b><b class='flag-5'>數(shù)據(jù)</b>恢復(fù)】Oracle<b class='flag-5'>數(shù)據(jù)庫</b>ASM實例無法掛載的<b class='flag-5'>數(shù)據(jù)</b>恢復(fù)案例