经过前段时间“断崖式”下跌之后,主流数字货币近期迎来“破发”,再次成为投资者追捧的宠儿。除正常“挖矿”以外,不法黑客也动起了歪脑筋,通过种种攻击手段,植入挖矿恶意程序获取非法收益。近期,腾讯安全御见威胁情报中心监测到黑产团伙针对MS SQL服务器进行弱口令爆破攻击,进而植入门罗币挖矿木马及anydesk远程控制软件占有服务器,伺机侵占更多服务器资源谋取暴利。截止目前,该团伙已入侵国内超500台企业服务器。
目前,腾讯御点终端安全管理系统已全面拦截并查杀该病毒。腾讯安全技术专家提醒企业网管,服务器被不法黑客暴力破解会导致企业关键业务信息泄露,建议尽快安装服务器漏洞补丁,并停止使用弱口令,以防作恶团伙攻击。
(图:腾讯御点终端安全管理系统)
由于该团伙与今年4月被曝的“贪吃蛇”挖矿木马团伙攻击手法极为类似,病毒挖矿的同时还会封堵系统的135、139、445等常用端口,以防被攻占的系统再被其他黑产团伙入侵控制。此外,在控制资源挖矿期间,其还会清除已被其他攻击者控制的挖矿木马。目前,安全厂商暂无法确定其是否归属于“贪吃蛇”挖矿木马团伙,腾讯安全技术专家将其命名为“贪吃蛇2号”。
经分析,不法黑客会通过MS SQL爆破入侵服务器,随后利用放置在TQ.exe资源的6个提权工具进行提权,包括2015-2018年最为典型的提权漏洞,涵盖windows Vista、Windows 10、Windows Server系统。这意味着,攻击者一旦掌握这一漏洞,短时间内可获得用户的系统级别权限,并执行低权限用户无法执行的恶意操作,以此大幅提升攻击危害。
更为严重的是,利用MS SQL系统弱密码攻击是“贪吃蛇2号”团伙的主要手段。一旦爆破入侵成功,其会利用提权漏洞采取进一步的攻击行动,以便完全控制服务器。截至目前,“贪吃蛇2号”团伙木马传播整体呈现小幅增长趋势。
在企业云计算发展的同时,企业数据泄露已经成为全球最常见的网络安全事件之一。数据库服务器被不法黑客暴力破解再完全控制,导致企业计算资源被恶意挖矿、企业关键业务信息泄露,同时入侵者还可能通过这些被控制的服务器继续在内网攻击传播,直接映射网络信息安全隐患。
对此,腾讯安全反病毒实验室负责人马劲松表示,建议广大企业网管加固SQL Server服务器,修补服务器安全漏洞,使用安全的密码策略,防止不法黑客暴力破解;同时修改SQL Sever服务默认端口,在原始配置基础上更改默认1433端口设置,并且设置访问规则;推荐企业用户可在服务器部署腾讯御点终端安全管理系统并及时更新安装服务器补丁,防止相关病毒木马利用windows提权漏洞发动攻击。