經過前段時間“斷崖式”下跌之后,主流數字貨幣近期迎來“破發”,再次成為投資者追捧的寵兒。除正常“挖礦”以外,不法黑客也動起了歪腦筋,通過種種攻擊手段,植入挖礦惡意程序獲取非法收益。近期,騰訊安全御見威脅情報中心監測到黑產團伙針對MS SQL服務器進行弱口令爆破攻擊,進而植入門羅幣挖礦木馬及anydesk遠程控制軟件占有服務器,伺機侵占更多服務器資源謀取暴利。截止目前,該團伙已入侵國內超500臺企業服務器。
目前,騰訊御點終端安全管理系統已全面攔截并查殺該病毒。騰訊安全技術專家提醒企業網管,服務器被不法黑客暴力破解會導致企業關鍵業務信息泄露,建議盡快安裝服務器漏洞補丁,并停止使用弱口令,以防作惡團伙攻擊。
(圖:騰訊御點終端安全管理系統)
由于該團伙與今年4月被曝的“貪吃蛇”挖礦木馬團伙攻擊手法極為類似,病毒挖礦的同時還會封堵系統的135、139、445等常用端口,以防被攻占的系統再被其他黑產團伙入侵控制。此外,在控制資源挖礦期間,其還會清除已被其他攻擊者控制的挖礦木馬。目前,安全廠商暫無法確定其是否歸屬于“貪吃蛇”挖礦木馬團伙,騰訊安全技術專家將其命名為“貪吃蛇2號”。
經分析,不法黑客會通過MS SQL爆破入侵服務器,隨后利用放置在TQ.exe資源的6個提權工具進行提權,包括2015-2018年最為典型的提權漏洞,涵蓋Windows Vista、Windows 10、Windows Server系統。這意味著,攻擊者一旦掌握這一漏洞,短時間內可獲得用戶的系統級別權限,并執行低權限用戶無法執行的惡意操作,以此大幅提升攻擊危害。
更為嚴重的是,利用MS SQL系統弱密碼攻擊是“貪吃蛇2號”團伙的主要手段。一旦爆破入侵成功,其會利用提權漏洞采取進一步的攻擊行動,以便完全控制服務器。截至目前,“貪吃蛇2號”團伙木馬傳播整體呈現小幅增長趨勢。
在企業云計算發展的同時,企業數據泄露已經成為全球最常見的網絡安全事件之一。數據庫服務器被不法黑客暴力破解再完全控制,導致企業計算資源被惡意挖礦、企業關鍵業務信息泄露,同時入侵者還可能通過這些被控制的服務器繼續在內網攻擊傳播,直接映射網絡信息安全隱患。
對此,騰訊安全反病毒實驗室負責人馬勁松表示,建議廣大企業網管加固SQL Server服務器,修補服務器安全漏洞,使用安全的密碼策略,防止不法黑客暴力破解;同時修改SQL Sever服務默認端口,在原始配置基礎上更改默認1433端口設置,并且設置訪問規則;推薦企業用戶可在服務器部署騰訊御點終端安全管理系統并及時更新安裝服務器補丁,防止相關病毒木馬利用windows提權漏洞發動攻擊。
