前言:Microsoft SQL服务器被黑客入侵,带宽被窃取,用户却无法察觉。信息时代,保障数据安全尤为重要。
黑客通过使用广告软件包、恶意软件,甚至入侵Microsoft SQL Server,将电脑服务器转换为通过在线的代理服务器,从而产生收入。
为了窃取设备的带宽,黑客安装了名为“proxyware”的软件,该软件会将设备的可用互联网带宽分配为代理服务器,远程用户可以将其用于各种任务,如测试、情报收集、内容分发或市场研究。Botters也喜欢用代理服务,因为这样他们可以访问未被在线零售商列入黑名单的住宅IP地址。
作为共享带宽的回报,设备所有者可以从向客户收取的费用中获得抽成。例如,Peer2Profit服务显示,用户通过在数千台设备上安装该公司的软件,每月最高可以赚到6000美元。
黑客通过为用户设置电子邮件地址来获得带宽补偿,而用户可能只会察觉到网络速度或连接有时会变慢。
Ahnlab公司观察到,黑客通过捆绑广告软件包和其他恶意软件,为Peer2Profit和IPRoyal等服务安装了代理软件。
恶意软件检查代理客户端是否在主机上运行,如果停用,它可以使用 "p2p_start 函数来启动。
对于 IPRoyal 的 Pawns,恶意软件更喜欢安装客户端的 CLI 版本而不是 GUI 版本,因为其目的是让该进程在后台隐蔽地运行。
在最近的观察中,黑客使用DLL形式的Pawns,以编码的字符串形式提供他们的电子邮件和密码,并用 "Initialize ”和 "startMAInRoutine "函数来启动。
在设备上安装代理软件后,该软件会将其添加为可用代理,远程用户可以使用它在互联网上进行任何操作。这也意味着其他黑客可以在受害者不知情的情况下使用这些代理进行非法活动。
感染Microsoft SQL服务器
根据 报告,恶意软件运营商使用这种方案来创收,还会针对易受攻击的 MS-SQL 服务器安装 Peer2Profit 客户端。
这种情况自 2022 年 6 月上旬以来一直在发生,从受感染系统中检索到的大多数日志都显示存在一个名为“sdk.mdf”的 UPX 打包数据库文件。
在Microsoft SQL服务器更常见的威胁加密货币劫持和加密货币矿工后台挖矿,也有黑客通过Cobalt Strike信标将服务器作为进入网络的枢纽点。
使用代理软件客户端背后的原因可能是不被发现,这样可以获取更大的利润。不过,目前还不清楚黑客通过这种方法赚了多少钱。
来源:安全圈