安基網 首頁 資訊 安全報 查看內容

【威脅通告 】Vollgar僵尸網絡

2020-4-4 13:36| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 一、威脅概述4月1日,Guardicore Labs團隊發布了一份長期攻擊活動的分析報告,此攻擊活動主要針對運行MS-SQL服務的Windows系統。分析報告稱,此攻擊活動至少從2018年5月開始,攻擊者會針對目標的MS-SQL進行暴力猜解,成功登錄目標系統后,再在系統中部署后門并運行遠控工具等惡意程序。這一系列的攻擊 ...

一、威脅概述

4月1日,Guardicore Labs團隊發布了一份長期攻擊活動的分析報告,此攻擊活動主要針對運行MS-SQL服務的Windows系統。分析報告稱,此攻擊活動至少從2018年5月開始,攻擊者會針對目標的MS-SQL進行暴力猜解,成功登錄目標系統后,再在系統中部署后門并運行遠控工具等惡意程序。這一系列的攻擊活動被命名為“Vollgar”。

通過暴力破解賬戶登陸系統再植入惡意程序是一種十分普遍的攻擊手法,但報告中稱,每天仍有2-3千個數據庫在Vollgar攻擊活動中被攻陷,其中包括中國、印度、韓國、土耳其和美國等國家,受影響的行業涵蓋醫療、航空、IT、電信、教育等多個領域。

二、影響范圍

存在MS-SQL弱口令的Windows系統

三、風險排查

3.1 detect_vollgar.ps1腳本自查

Guardicore Labs提供了PowerShell自查腳本Script – detect_vollgar.ps1,自查腳本detect_vollgar.ps1可實現本地攻擊痕跡檢測,檢測內容如下:

  1. 文件系統中的惡意payload;
  2. 惡意服務進程任務名;
  3. 后門用戶名。

腳本下載鏈接:

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

檢測步驟:

1、下載自查腳本detect_vollgar.ps1至本地,腳本內容詳見地址https://github.com/guardicore/labs_campaigns/blob/master/Vollgar/detect_vollgar.ps1

2、“Windows”+“R”,在彈出的運行界面搜索PowerShell。

3、運行腳本。如果回顯中包含“Evidence for Vollgar campaign has been found on this host.”字樣,則說明當前系統可能已被感染。

若存在感染情況,請參考下列方法進行處理:

  1. 移除探測自查結果中的攻擊痕跡。
  2. 終止惡意程序

注:若出現直接運行PowerShell時提示“無法加載文件ps1,因為在此系統中禁止執行腳本。有關詳細信息,請參閱 “get-help about_signing”。此提示是由于沒有權限執行該腳本。可運行如下命令查看當前執行策略:

get-executionpolicy

1

get-executionpolicy

如果顯示“Restricted”則為不允許執行任何腳本。

通過運行以下命令可修改其策略:

set-executionpolicy remotesigned

1

set-executionpolicy remotesigned

修改成功后即可使用PowerShell執行腳本

如需撤銷對其策略的修改,可通過運行以下命令進行恢復。

set-executionpolicy Restricted

1

set-executionpolicy Restricted

3.2 常規防護建議

  1. 關閉數據庫賬號登錄方式 以windows身份驗證方式登錄數據庫 并在windows策略里設置密碼強度。
  2. 加強網絡邊界入侵防范和管理,在網絡出入口設置防火墻等網絡安全設備,對不必要的通訊予以阻斷。
  3. 對暴露在互聯網上的網絡設備、服務器、操作系統和應用系統進行安全排查,包括但不限漏洞掃描、木馬監測、配置核查、WEB漏洞檢測、網站滲透測試等。
  4. 加強安全管理,建立網絡安全應急處置機制,啟用網絡和運行日志審計,安排網絡值守,做好監測措施,及時發現攻擊風險,及時處理。


小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6811373926447317508/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
洗衣店赚钱联系澳洁 北京pk拾拾计划软件 股票交流群微信 股票涨跌是以什么为标准 股票配资平台体验 福建11选5一定 北京pk10代理 通昭配资 河南22选5玩法 11选5中奖助手甘肃 体彩北京快中彩