Vollgar僵尸网络将MSSQL服务器作为目标

最近,Guardicore Labs团队发布了针对长期攻击活动的分析报告,该报告主要针对运行MS-SQL服务的Windows系统。根据分析报告,此攻击至少在2018年5月开始。攻击者将对目标的MS-SQL进行暴力攻击。成功登录目标系统后,黑客会部署后门并在系统中运行恶意程序,例如远程控制工具。这一系列的攻击活动被命名为“Vollgar”。

暴力破解帐户登录系统然后植入恶意程序是一种非常常见的攻击方法,但是报告指出,每天仍有2-3千个数据库在Vollgar攻击中遭到破坏,包括土耳其和美国,中国,印度,韩国,受影响的行业涵盖医疗,航空,IT,电信和教育等许多领域。

Vollgar僵尸网络将MSSQL服务器作为目标

Guardicore Labs提供了PowerShell自检脚本Script – detect_vollgar.ps1,而自检脚本detect_vollgar.ps1可以实现本地攻击跟踪检测。

运行脚本

打开PowerShell命令提示符并运行

.\detect_volgar.ps1

注:若出现直接运行PowerShell时提示“无法加载文件ps1,因为在此系统中禁止执行脚本。有关详细信息,请参阅 “get-help about_signing”。此提示是由于没有权限执行该脚本。可运行如下命令查看当前执行策略:

get-executionpolicy

如果显示“Restricted”则为不允许执行任何脚本。

通过运行以下命令可修改其策略:

set-executionpolicy remotesigned

修改成功后即可使用PowerShell执行脚本

如需撤销对其策略的修改,可通过运行以下命令进行恢复。

set-executionpolicy Restricted

检测内容如下:

该脚本可检测到广告系列攻击的痕迹:

在各种文件系统位置加载文件

服务和计划任务名称

后门用户名

如果机器有任何此类痕迹,则输出将包含以下句子

Evidence for Vollgar campaign has been found on this host.

在这种情况下,您应该:

从输出中指定的路径中删除攻击的痕迹

终止恶意程序

联系Guardicore Labs

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/27225d121aa918bab9127db454a267b8.html