请选择 进入手机版 | 继续访问电脑版
热搜: 活动 交友 discuz
话题

防伪查询认证中心

二级导航二级导航

生活

二级导航二级导航二级导航

二级导航二级导航二级导航

兴趣

二级导航二级导航

二级导航二级导航

资讯

二级导航二级导航二级导航

二级导航二级导航二级导航

便民

道具任务笑傲江湖

勋章好友江湖社区

[服务器安全] 中国恶意软件三重奏:全面针对MSSQL与MySQL服务器

[复制链接]
查看: 184|回复: 0

参加活动: 0

组织活动: 0

0

主题

0

帖子

29

积分

新手上路

贡献:0

金钱:29

威望:0

发表于 2018-11-26 11:48:03 | 显示全部楼层 |阅读模式
E安全12月21日讯 以色列安全公司GuardiCore近日发布报告称,某神秘中国黑客组织在过去一年当中持续针对Windows与Linux系统上的MSSQL与MySQL数据库发起攻击,其利用庞大的基础设施扫描易受攻击的目标主机,进而发动攻击并托管恶意软件。该组织采用广泛的基础设施与相关性较低的恶意软件方案,使得安全人员至今未能将该组织与其分散的攻击活动联系起来。最近,该组织部署的三种不同设计特性的恶意软件(针对不同目标)被安全公司GuardiCore联系起来。
tTCDd2t4m52Akyt4.jpg
神秘中国黑客组织相关分析
GuardiCore公司昨天发布报告称,该公司研究人员在经过数月的追踪之后发现,这个神秘的黑客组织的恶意行为主要分为三个活动,且每个活动都对应一种新的恶意软件。
恶意软件Hex、Taylor、Hanako


  • 第一波攻击指向运行有MSSQL数据库的Windows服务器,攻击者在这里部署一款名为Hex的恶意软件——其在本质上属于远程访问木马(简称RAT)与加密货币采矿木马。
  • 第二波攻击则指向运行在Windows服务器上的MSSQL数据库,这一次攻击者们转而采用名为Taylor的恶意软件,其负责充当键盘记录器外加后门。
  • 第三波攻击更为多样化,旨在扫描Windows与Linux服务器上运行的MYSQL与MySQL数据库。在此类攻击中,黑客们安装了一款名为Hanako的恶意软件,这是一款专门用于发动DDoS攻击的木马程序。
攻击者非常谨慎地掩盖网络活动
该神秘黑客组织利用已被感染的服务器扫描少量IP地址,并借此查找其它使用低强度登录凭证的数据库服务器,从而完成对易受攻击服务器的入侵。
vICZi839lh889vL8.jpg
黑客们非常小心地将扫描行为限制在少量IP地址范围之内,这样受感染主机就会扫描大量其它服务器; 此外,他们还利用受感染主机执行扫描操作,从而避免中央命令与控制(C&C)基础设施被其安全保护方所发现。
该组织还在恶意软件之间任意切换,时而结合使用,这意味着每次攻击会产生约300个独特的恶意软件二进制文件。此外,他们还不断轮换C&C服务器与域名,这种作法在国家支持型黑客活动中较为常见。
攻击者追击云基础设施
根据GuardiCore方面的介绍,神秘黑客组织对微软Azure以及亚马逊AWS公有IP范围进行扫描,希望借此发现采用低强度凭证且负责存储敏感信息的企业云服务器。
黑客们集中精力确保自身回避先进安全产品的扫描的同时,其攻击活动仍影响到数以万计的服务器。今年3月发布的Taylor恶意软件所涉及的服务器就超过8万台。Taylor的取名源自研究人员们在一台C&C服务器上所发现的美国歌手Taylor Swift的照片。在此之前,由于整个攻击流程非常隐蔽,卡巴斯基方面曾于今年2月将Taylor误认为是Mirai恶意软件的Windows变种版本。
GuardiCore公司将研究这些攻击活动的过程描述为“一种类似于密室逃脱般的,一环扣一环的追踪体验”。研究工作非常复杂,在这种情况下,逃脱挑战困扰了研究人员们近一年时间,但CuardiCore公司最终能够对攻击者的可能位置作出判断。
大部分网络攻击受害者位于中国
研究人员们指出,“代码当中经常出现中文注释,并且有充分的证据表明该黑客组织来自中国。大部分受害者也集中在中国。另外,Hex的恶意软件(RAT木马)还将自身伪装为流行的中文程序,且配置文件所列出的电子邮件地址(免费的)也源自各大中国服务商。”
MYvH71l7ciCYVclz.jpg
目前,MSSQL与MySQL服务器的拥有者们应确保其数据库帐户使用可靠密码,配备可阻止暴力攻击的防火墙,同时还应检查其系统是否存在以下数据库管理员帐户——攻击者会利用这些帐户在受感染的系统上创建后门。


  • hanako
  • kisadminnew1
  • 401hk$
  • guest
  • Huazhongdiguo110
今年早些时候,GuardiCore方面还发现了BondNet,这是一套由超过15000台Windows Server设备构成的僵尸网络,专门用于加密货币采矿。研究人员们认为BondNet同样源自中国。
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容
*滑动验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则