河南夢之網網絡科技有限公司
夢之網科技出品
掃描關注夢之網科技微信公眾賬號

掃小程序碼聯系客服

騰訊安全:又是SQL服務器爆破!黑產圈再現“吃獨食”挖礦團伙

夢之網科技?2019-12-07?經驗之談?

本站部分內容系互聯網轉載,本站不擁有所有權,不承擔相關法律責任。企業宣傳商業資訊,僅供用戶參考,如用戶將之作為消費行為參考,敬告用戶需審慎決定。站長微信(廣告合作/文章刪除):18239951881

騰訊安全:又是SQL服務器爆破!黑產圈再現“吃獨食”挖礦團伙

推薦 2019-04-03 18:38:44

近期,騰訊安全御見威脅情報中心監測發現,一起挖礦木馬與大灰狼遠控木馬“狼狽為奸”、結伴攻擊的事件。攻擊者首先會針對企業MS SQL服務器進行爆破攻擊,得手后利用多個提權工具進行提權,隨后植入挖礦木馬、大灰狼遠程控制木馬以及鍵盤記錄等惡意程序,在挖取門羅幣牟取巨額非法收益的同時,竊取大量用戶個人隱私信息,企圖進一步作惡,以持續擴大攻擊收益。

目前,騰訊御點終端安全管理系統已全面攔截并查殺該作惡團伙。同時,騰訊安全技術專家提醒企業網管,數據庫服務器被不法黑客暴力破解會導致企業關鍵業務信息泄露,建議盡快安裝服務器漏洞補丁,并停止使用弱口令,以防作惡團伙攻擊。

img_pic_1554287924_0.png

(圖:騰訊御點終端安全管理系統)

經分析,該團伙不僅具備高超的攻擊手段,而且還開啟了“黑吃黑”模式。據騰訊安全技術專家介紹,該作惡團伙釋放病毒木馬的同時,還會封堵中招用戶系統的135、139、445等主要端口,以防被自身攻占的系統再被其他黑產團伙入侵控制;而在控制資源挖礦期間,還會清除已被其他攻擊者控制的挖礦木馬,表現出明顯的貪婪特性。為此,騰訊安全將該團伙命名為“貪吃蛇”,并與其他黑產團伙進行區隔。

值得一提的是,利用MS SQL系統弱密碼攻擊是貪吃蛇團伙的主要手段,一旦爆破入侵成功,其還會利用提權漏洞采取進一步的攻擊行動,以便完全控制服務器。截至目前,“貪吃蛇”團伙木馬傳播整體呈現小幅爆發趨勢。

img_pic_1554287924_1.png

(圖:“貪吃蛇”挖礦團伙傳播趨勢)

作為一款老牌遠控工具,“大灰狼”時至今日仍備受黑產圈喜愛。據報道,目前該木馬原始作者已經離世,但相關代碼已流落黑產圈開源共享,不同的病毒木馬團伙對其定制改造后發布了諸多變種。在此次攻擊案例中,“大灰狼”遠控采用更為隱秘的DNS隧道通信技術,直接繞過大部分軟件防火墻,然后利用帶有正規數字簽名白文件發動攻擊,往往令企業用戶防不勝防。

img_pic_1554287924_2.png

(圖:被盜用的正規數字簽名文件)

隨著黑產團伙技術手段不斷的進化,不管是對攻擊目標精挑細選,還是對技術手段不斷升級,黑產團伙的核心目的還是在于感染更多用戶電腦,攫取更高的收益。因此,如何抵御黑產攻擊成為企業日常網絡安全建設工作的重中之重。

對此,騰訊安全反病毒實驗室負責人馬勁松表示,建議廣大企業網管加固SQL Server服務器,修補服務器安全漏洞,使用安全的密碼策略,防止不法黑客暴力破解;同時修改SQL Sever服務默認端口,在原始配置基礎上更改默認1433端口設置,并且設置訪問規則;推薦企業用戶可在服務器部署騰訊御點終端安全管理系統并及時更新安裝服務器補丁,防止相關病毒木馬利用windows提權漏洞發動攻擊。

文章關鍵詞
急速赛车国语 竞彩网完场比分500 乐禧白城麻将 黑龙江6+1中奖规则 足球500比分 微信股票群大全 长春微乐麻将 广西快三怎么下载安装 11选5缩水软件超 吉祥麻将官方版 吉林11选5走势图表 广东十一选五官方 呼和浩特红灯区在哪 qq斗地主下载2015免费 新疆11选5前三直选遗漏 山东时时彩 浙江6+1走势图幸运之门