新型挖礦木馬來了!近日,騰訊安全威脅情報(bào)中心檢測到針對MSSQL服務(wù)器攻擊的挖礦木馬,該挖礦木馬主要針對MSSQL服務(wù)進(jìn)行爆破弱口令攻擊,爆破成功后會植入門羅幣挖礦木馬進(jìn)行挖礦。據(jù)騰訊安全評估,截止目前已有上萬臺服務(wù)器淪為門羅幣礦機(jī)。對此,騰訊安全專家提醒企業(yè)應(yīng)避免使用弱口令。同時,騰訊安全終端安全管理系統(tǒng)已可攔截查殺該挖礦木馬。
據(jù)騰訊安全專家介紹,該黑產(chǎn)團(tuán)伙對MSSQL服務(wù)器進(jìn)行爆破成功后,會下載執(zhí)行HFS服務(wù)器上的惡意文件。從挖礦木馬的HFS服務(wù)器計(jì)數(shù)估計(jì),已有上萬臺MSSQL服務(wù)器被植入挖礦木馬,另有數(shù)十臺服務(wù)器被安裝后門。挖礦木馬HFS文件列表如下。
需要注意的是,攻擊者在失陷服務(wù)器上下載frpc內(nèi)網(wǎng)穿透工具安裝后門,并添加用戶以方便入侵者遠(yuǎn)程登錄該服務(wù)器的行為,會進(jìn)一步增加黑客入侵風(fēng)險(xiǎn),使企業(yè)數(shù)據(jù)庫服務(wù)器淪陷而導(dǎo)致嚴(yán)重信息泄露事件發(fā)生。其中,Dllhost.exe是一款開源的內(nèi)網(wǎng)穿透工具Frpc,Bat負(fù)責(zé)生成frpc配置文件,以及設(shè)置服務(wù)啟動項(xiàng),目的是將本機(jī)的3389端口暴露給黑客服務(wù)器,黑客可直接通過RDP連接到受害服務(wù)器,進(jìn)而控制企業(yè)內(nèi)網(wǎng)。
面對日益猖獗的黑產(chǎn)團(tuán)伙,騰訊安全專家建議企業(yè)從多方面采取措施,保障服務(wù)器安全。首先,企業(yè)應(yīng)加強(qiáng)網(wǎng)絡(luò)安全意識,努力提高安全防范能力。其次,企業(yè)應(yīng)在所有服務(wù)器上避免使用弱口令,爆破攻擊通常是黑客試水的第一步,使用弱口令非常容易導(dǎo)致企業(yè)資產(chǎn)被入侵。此外,為避免遭遇該挖礦木馬迫害,騰訊安全建議政企機(jī)構(gòu)部署專業(yè)防護(hù)軟件。
值得一提的是,目前騰訊安全旗下安全產(chǎn)品已針對該挖礦木馬的入侵行為進(jìn)行檢測和攔截。其中,騰訊安全主機(jī)安全支持MSSQL弱密碼檢測,支持查殺該挖礦木馬。此外,騰訊安全主機(jī)安全還提供云上終端的防毒殺毒、防入侵、漏洞管理、基線管理等。騰訊安全終端安全管理系統(tǒng)能夠提供企業(yè)終端的防毒殺毒、防入侵、漏洞管理、基線管理等能力,幫助查殺該團(tuán)伙入侵釋放的挖礦程序,內(nèi)網(wǎng)端口映射工具。
