自2018年5月以来,一个恶意软件僵尸网络一直在对Microsoft SQL(MSSQL)数据库发起暴力攻击,以接管管理员帐户,然后在基础操作系统上安装加密货币挖掘脚本。
该僵尸网络在网络安全公司Guardicore今天发布的一份报告中进行了详细介绍,并与ZDNet共享。僵尸网络仍处于活动状态,每天感染约3,000个新的MSSQL数据库。
Guardicore基于其倾向于与Volero(VDS)加密货币以及Monero(XMR)(当今大多数僵尸网络开采的实际替代币)一起开采而命名僵尸网络Vollgar。
Guardicore的网络安全研究员Ophir Harpaz说:“在为期两年的活动中,该活动的攻击流程一直相似-彻底,精心计划且嘈杂。”
试图猜测MSSQL服务器密码的蛮力攻击席卷了整个Internet。Guardicore表示,自2018年5月以来,他们拥有用于发起攻击的120多个IP地址,其中大多数IP来自中国。
哈帕兹说:“这些很可能是被破坏的机器,被重新设计用于扫描和感染新的受害者。” “尽管其中一些是短暂的并且仅对几起事件负责,但几个源IP活跃了三个多月。”
检测脚本可在GITHUB上获得
Harpaz说,僵尸网络一直处于混乱状态,僵尸网络每天丢失服务器并添加新服务器。根据Guardicore的说法,所有被劫持的MSSQL服务器中,超过60%的病毒仅在长达两天的短时间内仍被Vollgar加密矿恶意软件感染。
这份TechRepublic Premium存档报告最初于2013年11月发布,可供注册TechRepublic成员免费使用。有关所有最新研究报告,100多种现成的政策,IT职位描述等,请查看TechRepubli …
TechRepublic Premium提供的研究
Harpaz说,然而,所有MSSQL系统中几乎有20%的病毒感染时间超过一周甚至更长。Harpaz认为,这是因为Vollgar恶意软件设法从本地安全软件中伪装自己,或者数据库没有首先运行。
但是,Guardicore研究人员还指出了另一个有趣的统计数据-所有受害者中有10%再次感染了该恶意软件。
Harpaz说,这通常是由于管理员没有正确删除恶意软件的所有模块,而为恶意软件自行重新安装留有余地。
为了帮助受害者MSSQL管理员,Guardicore发布了一个包含脚本的GitHub存储库,以检测由Vollgar恶意软件在受感染主机上创建的文件和后门帐户。
GUARDICORE正在跟踪30多个加密采矿僵尸网络
这是自2017年5月以来第五个专门针对Guardicore已发现的MSSQL数据库的加密货币挖矿僵尸网络。以前的僵尸网络包括Bondnet,Hex-Men,Smominru和Nansh0u之类的僵尸网络。
但是,在本周接受ZDNet采访时,Harpaz指出,加密采矿僵尸网络的数量远远超过30个。Guardicore研究人员说,这些僵尸网络每天控制着全球成千上万台机器。基础。
这些密码挖掘僵尸网络大多数都不会对特定的服务器技术产生兴趣,例如Vollgar僵尸网络主要针对MSSQL数据库。
僵尸网络扫描针对广泛的服务器软件,它们用作植入恶意软件的入口点。Harpaz说,根据来自Guardicore的全球传感器网络的数据,扫描次数最多的5个端口/协议是SSH,SMB,FTP,HTTP和MS-SQL。
Harpaz告诉ZDNet: “很难说这些扫描中的每一个是否都会发展成一种加密采矿攻击,但是我们的经验表明,这种类型的攻击使威胁行为者获利是最直接的攻击媒介。”
研究人员补充说:“加密货币组织正在寻找两件事:资源丰富的机器和大规模目标。”
“数据库服务器以及RDP服务器都倾向于在具有更高计算能力的计算机上运行,从而使它们成为执行加密采矿任务的更好的工作者。
Harpaz告诉ZDNet: “攻击者渴望这些机器如此之多,以至于他们付出了巨大的努力来破坏其他攻击组的进程和文件,以获得对宝贵资源的完全控制。” Vollgar的代码中还提供了删除竞争性僵尸网络脚本的功能。
Harpaz告诉ZDNet,大多数僵尸网络仍然专注于挖掘Monero加密货币。但是,随着Monero逐渐变得越来越难以开采,各组织已尝试使用鲜为人知的硬币,例如Vollar(Vollgar僵尸网络)和TurtleCoin(Nansh0u)。
展望未来,Harpaz表示,Guardicore计划在它一直跟踪的僵尸网络上发布更多数据,以期改善整个行业的检测能力。
Harpaz告诉ZDNet: “我们目前正在研究一个新的僵尸网络百科全书,以与安全社区共享我们的独特数据。” “这将包括活跃和过去的竞选活动,他们的时间跨度以及相关的国际奥委会等等。”
