魔天记忘语小说,绝色狂妃仙魅小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案

警惕：黑客在數(shù)千個(gè)MicrosoftSQL服務(wù)器上安裝秘密后門(mén)

網(wǎng)絡(luò)安全研究人員近期發(fā)現(xiàn)了一項(xiàng)惡意活動(dòng)，該活動(dòng)針對(duì)運(yùn)行MS-SQL服務(wù)器的Windows計(jì)算機(jī)，目的是在后門(mén)部署其他種類(lèi)的惡意軟件。

公司主營(yíng)業(yè)務(wù)：成都做網(wǎng)站、成都網(wǎng)站建設(shè)、移動(dòng)網(wǎng)站開(kāi)發(fā)等業(yè)務(wù)。幫助企業(yè)客戶(hù)真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競(jìng)爭(zhēng)能力。創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開(kāi)放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對(duì)我們的高要求，感謝他們從不同領(lǐng)域給我們帶來(lái)的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶(hù)帶來(lái)驚喜。創(chuàng)新互聯(lián)推出綏德免費(fèi)做網(wǎng)站回饋大家。

包括多功能遠(yuǎn)程訪問(wèn)工具(RAT)和挖礦木馬。Guardicore Labs的研究人員聲稱(chēng)其以令人反感的“粗俗”作案手法——利用Vollar加密貨幣而出名。

命名為“ Vollgar ”，該攻擊利用密碼暴力手段破壞了暴露于Internet的較弱憑據(jù)的Microsoft SQL Server。

研究人員稱(chēng)，攻擊者在過(guò)去幾周中成功地每天成功感染了近2,000-3,000臺(tái)數(shù)據(jù)庫(kù)服務(wù)器，潛在的受害者分別來(lái)自中國(guó)，印度，美國(guó)，韓國(guó)和美國(guó)的醫(yī)療保健，航空公司，IT、電信及高等教育部門(mén)。

值得慶幸的是，研究人員經(jīng)過(guò)研究后發(fā)布了一個(gè)腳本，讓系統(tǒng)管理員可以檢測(cè)Windows MS-SQL服務(wù)器是否已受到威脅。

Vollgar的套路的第一步是在MS-SQL服務(wù)器上強(qiáng)行登錄，若是成功，它會(huì)執(zhí)行許多配置更改，以運(yùn)行惡意MS-SQL命令并下載惡意軟件二進(jìn)制文件。

“通過(guò)驗(yàn)證，攻擊者是以WbemScripting.SWbemLocator，Microsoft.Jet.OLEDB.4.0和Windows等腳本為宿主對(duì)象模型(wshom)來(lái)支持WMI編制并執(zhí)行MS-SQL命令。最終目的是下載惡意軟件或二進(jìn)制文件?！?/p>

除了確保cmd.exe和ftp.exe可執(zhí)行文件具有必要的執(zhí)行權(quán)限外，Vollgar背后黑客還在MS-SQL數(shù)據(jù)庫(kù)獲得更高特權(quán)的操作，以創(chuàng)建新的后門(mén)。

攻擊者在初始設(shè)置完成后，會(huì)繼續(xù)創(chuàng)建下載VBScript和一個(gè)FTP腳本，這些腳本將多次執(zhí)行，它們還會(huì)在本地文件系統(tǒng)上使用不同的位置來(lái)打障眼法。

最初的有效載名為SQLAGENTIDC.exe或SQLAGENTVDC.exe，黑客做的首先是取代一大串長(zhǎng)串進(jìn)程，為了獲得最大的系統(tǒng)資源，它們會(huì)消除威脅其行動(dòng)的競(jìng)爭(zhēng)者黑客的數(shù)據(jù)，最后直接根除競(jìng)爭(zhēng)對(duì)手。

攻擊受損系統(tǒng)上托管的攻擊基礎(chǔ)架構(gòu)

Guardicore說(shuō)，攻擊者將整個(gè)基礎(chǔ)設(shè)施都存在受感染的計(jì)算機(jī)上，舉例發(fā)現(xiàn)的是他們?cè)谥袊?guó)發(fā)現(xiàn)的受害機(jī)——它們被控制服務(wù)器，然后迫傳播攻擊者命令，具有深思的是，多個(gè)的黑客組織都對(duì)它們進(jìn)行了攻擊。

網(wǎng)絡(luò)安全公司觀察到：“(在C&C服務(wù)器上的)文件中是MS-SQL攻擊工具，負(fù)責(zé)掃描IP范圍，對(duì)目標(biāo)數(shù)據(jù)庫(kù)進(jìn)行暴力破解并遠(yuǎn)程執(zhí)行命令?！?/li>
“此外，我們發(fā)現(xiàn)了兩個(gè)帶有中文GUI的CNC程序，一個(gè)用于修改文件的哈希值的工具，一個(gè)便攜式HTTP文件服務(wù)器(HFS)，Serv-U FTP服務(wù)器以及一個(gè)可執(zhí)行文件mstsc.exe(Microsoft終端服務(wù)客戶(hù)端)，用于通過(guò)RDP與受害者建立聯(lián)系。”

一旦受感染的Windows客戶(hù)端對(duì)C2服務(wù)器執(zhí)行ping命令，后者就會(huì)收到有關(guān)該計(jì)算機(jī)的各種詳細(xì)信息，例如其公共IP，位置，操作系統(tǒng)版本，計(jì)算機(jī)名稱(chēng)和CPU型號(hào)。

Guardicore說(shuō)，安裝在中國(guó)服務(wù)器上的兩個(gè)C2程序是兩個(gè)不同的供應(yīng)商開(kāi)發(fā)受害者，它們被遠(yuǎn)程控制的過(guò)程有相似之處——下載文件，安裝新的Windows服務(wù)，鍵盤(pán)記錄，屏幕捕獲，激活攝像頭和麥克風(fēng)。最后甚至?xí)话l(fā)起DDoS攻擊。

使用強(qiáng)密碼來(lái)避免暴力攻擊

據(jù)發(fā)現(xiàn)，約五十萬(wàn)臺(tái)運(yùn)行MS-SQL數(shù)據(jù)庫(kù)服務(wù)的計(jì)算機(jī)被暴露，這表明攻擊者一直在盯著保護(hù)措施不佳的數(shù)據(jù)庫(kù)服務(wù)器，以竊取敏感信息。所以說(shuō)，必須使用強(qiáng)大的數(shù)據(jù)憑證保護(hù)，以避免Internet的MS-SQL服務(wù)器被暴露。

Guardicore研究人員總結(jié)：“除獲取受害者CPU功能外，使這些數(shù)據(jù)庫(kù)服務(wù)器吸引了攻擊者的原因在于它們擁有大量數(shù)據(jù)。” 因?yàn)檫@些服務(wù)器用于存儲(chǔ)個(gè)人信息，例如用戶(hù)名，密碼，信用卡號(hào)等，只需簡(jiǎn)單的暴力就被攻擊者再次進(jìn)行破解!

分享名稱(chēng)：警惕：黑客在數(shù)千個(gè)MicrosoftSQL服務(wù)器上安裝秘密后門(mén)
網(wǎng)頁(yè)鏈接：http://m.fisionsoft.com.cn/article/coeeeih.html

新聞中心

其他資訊