導讀 自2018年5月以來，一個惡意僵尸網(wǎng)絡一直在對Microsoft SQL (MSSQL)數(shù)據(jù)庫發(fā)起強力攻擊，以接管管理帳戶，然后在底層操作系統(tǒng)上安裝加密貨幣挖掘腳本。今天，網(wǎng)絡安全公司Guardicor

自2018年5月以來，一個惡意僵尸網(wǎng)絡一直在對Microsoft SQL (MSSQL)數(shù)據(jù)庫發(fā)起強力攻擊，以接管管理帳戶，然后在底層操作系統(tǒng)上安裝加密貨幣挖掘腳本。

今天，網(wǎng)絡安全公司Guardicore發(fā)布了一份與ZDNet共享的報告，其中詳細介紹了僵尸網(wǎng)絡，它仍然活躍，每天感染大約3000個新的MSSQL數(shù)據(jù)庫。

Guardicore將這種僵尸網(wǎng)絡命名為Vollgar，是基于它傾向于將Vollar (VDS)加密貨幣與Monero (XMR)(當今大多數(shù)僵尸網(wǎng)絡開采的事實上的次元硬幣)一起開采。

Guardicore網(wǎng)絡安全研究員奧菲爾?哈帕茲表示:“在這兩年的活動中，攻擊流程保持了類似的——徹底、周密、嘈雜。”

試圖猜測MSSQL服務器密碼的暴力攻擊已經(jīng)席卷了整個互聯(lián)網(wǎng)。Guardicore說，自2018年5月以來，他們已經(jīng)有超過120個IP地址用于發(fā)起攻擊，其中大多數(shù)IP來自中國。

Harpaz說:“這些很有可能是受損的機器，用來掃描和感染新的受害者?！薄半m然其中一些是短暫的，只造成了幾起事故，但幾個信息源ip活躍了三個多月?！?/p>

Harpaz說，僵尸網(wǎng)絡一直在不斷地攪動，僵尸網(wǎng)絡每天都在丟失服務器，并增加新的服務器。根據(jù)Guardicore的數(shù)據(jù)，超過60%的被劫持的MSSQL服務器仍然受到Vollgar密碼挖掘惡意軟件的感染，感染時間很短，最多兩天。

Harpaz說，然而，幾乎有20%的MSSQL系統(tǒng)的感染持續(xù)時間超過一周，甚至更長。Harpaz認為，這是因為Vollgar惡意軟件成功地偽裝了自己，避開了本地安全軟件，或者數(shù)據(jù)庫一開始就沒有運行。

然而，《衛(wèi)報》的研究人員也指出了另一個有趣的統(tǒng)計數(shù)據(jù)——10%的受害者再次被惡意軟件感染。

Harpaz說，這種情況經(jīng)常發(fā)生，因為管理員沒有正確地刪除所有的惡意軟件模塊，為惡意軟件的重新安裝留下了余地。

為了幫助MSSQL受害者管理員，Guardicore發(fā)布了一個GitHub存儲庫，其中包含腳本，用于檢測由Vollgar惡意軟件在受感染的主機上創(chuàng)建的文件和后門賬戶。

這是自2017年5月以來，Guardicore發(fā)現(xiàn)的第五個專門針對MSSQL數(shù)據(jù)庫的加密貨幣挖掘僵尸網(wǎng)絡。以前的僵尸網(wǎng)絡包括Bondnet、Hex-Men、Smominru和Nansh0u等。

然而，在本周接受ZDNet的采訪時，Harpaz認為密碼挖掘僵尸網(wǎng)絡的數(shù)量遠遠超過了30個。總而言之，Guardicore的研究人員表示，這些僵尸網(wǎng)絡每天控制著全球數(shù)千乃至數(shù)萬臺機器。

大多數(shù)這些密碼挖掘僵尸網(wǎng)絡不會將自己歸類到特定的服務器技術(shù)中——比如Vollgar僵尸網(wǎng)絡，它的主要目標是MSSQL數(shù)據(jù)庫。

僵尸網(wǎng)絡掃描的目標是廣泛的服務器軟件，它們將這些軟件作為植入惡意軟件的入口。Harpaz說，根據(jù)來自Guardicore全球傳感器網(wǎng)絡的數(shù)據(jù)，前5個被掃描最多的端口/協(xié)議是SSH、SMB、FTP、HTTP和MS-SQL。

Harpaz告訴ZDNet:“很難說這些掃描是否每一次都發(fā)展成為一種加密攻擊——但我們的經(jīng)驗表明，這種類型的攻擊為威脅行動者獲取利潤提供了最直接的攻擊載體。”

研究人員補充說:“加密小組正在尋找兩樣東西:有資源的機器和大規(guī)模的目標?！?/p>

數(shù)據(jù)庫服務器和RDP服務器都傾向于運行在具有更高計算能力的機器上，這使它們能夠更好地執(zhí)行加密任務。

Harpaz告訴ZDNet:“攻擊者如此渴望這些機器，以至于他們投入大量精力來破壞其他攻擊組織的進程和文件，以獲得對寶貴資源的完全控制。”Vollgar的代碼中還出現(xiàn)了一個功能，可以刪除競爭僵尸網(wǎng)絡的腳本。

Harpaz告訴ZDNet，大多數(shù)僵尸網(wǎng)絡仍然專注于挖掘Monero加密貨幣。然而，隨著Monero越來越難以開采，一些組織開始嘗試使用不太為人所知的硬幣，如Vollar (Vollgar botnet)和TurtleCoin (Nansh0u)。

接下來，Harpaz表示，Guardicore計劃公布更多關于其追蹤的僵尸網(wǎng)絡的數(shù)據(jù)，以提高整個行業(yè)的檢測能力。

Harpaz告訴ZDNet:“我們目前正在開發(fā)一個新的僵尸網(wǎng)絡百科全書，與安全社區(qū)共享我們獨特的數(shù)據(jù)?！薄斑@將包括活躍的和過去的活動，他們的時間跨度和相關的IOCs和更多?！?/p>