一、威胁详情
近日,Guardicore Labs团队发布了一份名为Vollgar的加密挖矿僵尸网络的分析报告,攻击者利用该僵尸网络从2018年5月开始,针对目标的MS-SQL进行暴力猜解,成功登录目标系统后,再在系统中部署后门并运行远控工具等恶意程序。Vollgar僵尸网络的攻击目标是暴露在网上的使用弱凭据的Microsoft SQL服务器。
通过暴力破解账户登陆系统再植入恶意程序是一种十分普遍的攻击手法,在过去几周中,每天有2-3千个数据库在Vollgar攻击活动中被攻陷,其中包括中国、印度、韩国、土耳其和美国等国家,受影响的行业涵盖医疗、航空、IT、电信、教育等多个领域。
二、危害影响
存在MS-SQL弱口令的Windows系统
三、风险检测
利用detect_vollgar.ps1脚本自查
Guardicore Labs提供了PowerShell自查脚本Script - detect_vollgar.ps1,自查脚本detect_vollgar.ps1可实现本地攻击痕迹检测,检测内容如下:
1.文件系统中的恶意payload;
2.恶意服务进程任务名;
3.后门用户名。
脚本下载链接:
https://github.com/guardicore/labs_campaigns/tree/master/Vollgar
检测步骤:
1.下载自查脚本detect_vollgar.ps1至本地,脚本内容详见地址https://github.com/guardicore/labs_campaigns/blob/master/Vollgar/detect_vollgar.ps1
2.“Windows”+“R”,在弹出的运行界面搜索PowerShell。
3.运行脚本。如果回显中包含“Evidence for Vollgarcampaign has been found on this host.”字样,则说明当前系统可能已被感染。
若存在感染情况,请参考下列方法进行处理:
1. 移除探测自查结果中的攻击痕迹。
2. 终止恶意程序
注:若出现直接运行PowerShell时提示“无法加载文件ps1,因为在此系统中禁止执行脚本。有关详细信息,请参阅 "get-help about_signing"。此提示是由于没有权限执行该脚本。
可运行如下命令查看当前执行策略:
get-executionpolicy
如果显示“Restricted”则为不允许执行任何脚本。
通过运行以下命令可修改其策略:
set-executionpolicy remotesigned
修改成功后即可使用PowerShell执行脚本
如需撤销对其策略的修改,可通过运行以下命令进行恢复。
set-executionpolicy Restricted
四、常规防护建议
1.关闭数据库账号登录方式 以windows身份验证方式登录数据库 并在windows策略里设置密码强度。
2.加强网络边界入侵防范和管理,在网络出入口设置防火墙等网络安全设备,对不必要的通讯予以阻断;
3.对暴露在互联网上的网络设备、服务器、操作系统和应用系统进行安全排查,包括但不限漏洞扫描、木马监测、配置核查、WEB漏洞检测、网站渗透测试等;
4.加强安全管理,建立网络安全应急处置机制,启用网络和运行日志审计,安排网络值守,做好监测措施,及时发现攻击风险,及时处理。
原文始发于微信公众号(嘉诚安全):Vollgar 僵尸网络威胁安全通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论