“貪吃蛇2號”酷愛爆破攻擊 SQL服務器再變門羅幣礦機

經(jīng)過前段時間“斷崖式”下跌之后，主流數(shù)字貨幣近期迎來“破發(fā)”，再次成為投資者追捧的寵兒。除正常“挖礦”以外，不法黑客也動起了歪腦筋，通過種種攻擊手段，植入挖礦惡意程序獲取非法收益。近期，騰訊安全御見威脅情報中心監(jiān)測到黑產(chǎn)團伙針對MS SQL服務器進行弱口令爆破攻擊，進而植入門羅幣挖礦木馬及anydesk遠程控制軟件占有服務器，伺機侵占更多服務器資源謀取暴利。截止目前，該團伙已入侵國內(nèi)超500臺企業(yè)服務器。

目前，騰訊御點終端安全管理系統(tǒng)已全面攔截并查殺該病毒。騰訊安全技術專家提醒企業(yè)網(wǎng)管，服務器被不法黑客暴力破解會導致企業(yè)關鍵業(yè)務信息泄露，建議盡快安裝服務器漏洞補丁，并停止使用弱口令，以防作惡團伙攻擊。

　　(圖：騰訊御點終端安全管理系統(tǒng))

由于該團伙與今年4月被曝的“貪吃蛇”挖礦木馬團伙攻擊手法極為類似，病毒挖礦的同時還會封堵系統(tǒng)的135、139、445等常用端口，以防被攻占的系統(tǒng)再被其他黑產(chǎn)團伙入侵控制。此外，在控制資源挖礦期間，其還會清除已被其他攻擊者控制的挖礦木馬。目前，安全廠商暫無法確定其是否歸屬于“貪吃蛇”挖礦木馬團伙，騰訊安全技術專家將其命名為“貪吃蛇2號”。

經(jīng)分析，不法黑客會通過MS SQL爆破入侵服務器，隨后利用放置在TQ.exe資源的6個提權(quán)工具進行提權(quán)，包括2015-2018年最為典型的提權(quán)漏洞，涵蓋Windows Vista、Windows 10、Windows Server系統(tǒng)。這意味著，攻擊者一旦掌握這一漏洞，短時間內(nèi)可獲得用戶的系統(tǒng)級別權(quán)限，并執(zhí)行低權(quán)限用戶無法執(zhí)行的惡意操作，以此大幅提升攻擊危害。

更為嚴重的是，利用MS SQL系統(tǒng)弱密碼攻擊是“貪吃蛇2號”團伙的主要手段。一旦爆破入侵成功，其會利用提權(quán)漏洞采取進一步的攻擊行動，以便完全控制服務器。截至目前，“貪吃蛇2號”團伙木馬傳播整體呈現(xiàn)小幅增長趨勢。

在企業(yè)云計算發(fā)展的同時,企業(yè)數(shù)據(jù)泄露已經(jīng)成為全球最常見的網(wǎng)絡安全事件之一。數(shù)據(jù)庫服務器被不法黑客暴力破解再完全控制，導致企業(yè)計算資源被惡意挖礦、企業(yè)關鍵業(yè)務信息泄露，同時入侵者還可能通過這些被控制的服務器繼續(xù)在內(nèi)網(wǎng)攻擊傳播，直接映射網(wǎng)絡信息安全隱患。

對此，騰訊安全反病毒實驗室負責人馬勁松表示，建議廣大企業(yè)網(wǎng)管加固SQL Server服務器，修補服務器安全漏洞，使用安全的密碼策略，防止不法黑客暴力破解;同時修改SQL Sever服務默認端口，在原始配置基礎上更改默認1433端口設置，并且設置訪問規(guī)則;推薦企業(yè)用戶可在服務器部署騰訊御點終端安全管理系統(tǒng)并及時更新安裝服務器補丁，防止相關病毒木馬利用windows提權(quán)漏洞發(fā)動攻擊。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。