原創 威脅對抗能力部 [綠盟科技安全情報](javascript:void(0)???? 今天
通告編号:ns-2020-0022
2020-04-02
ta****g:
vollgar、ms-sql、僵屍網絡
版本:
1.0
威脅概述
4月1日,guardicore labs團隊釋出了一份長期攻擊活動的分析報告,此攻擊活動主要針對運作ms-sql服務的windows系統。分析報告稱,此攻擊活動至少從2018年5月開始,攻擊者會針對目标的ms-sql進行暴力猜解,成功登入目标系統後,再在系統中部署後門并運作遠控工具等惡意程式。這一系列的攻擊活動被命名為“vollgar”。
通過暴力破解賬戶登陸系統再植入惡意程式是一種十分普遍的攻擊手法,但報告中稱,每天仍有2-3千個資料庫在vollgar攻擊活動中被攻陷,其中包括中國、印度、南韓、土耳其和美國等國家,受影響的行業涵蓋醫療、航空、it、電信、教育等多個領域。
參考連結:
https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/
see more →
2影響範圍
存在ms-sql弱密碼的windows系統
3風險排查
3.1 detect_vollgar.ps1腳本自查
guardicore labs提供了powershell自查腳本script - detect_vollgar.ps1,自查腳本detect_vollgar.ps1可實作本地攻擊痕迹檢測,檢測内容如下:
\1. 檔案系統中的惡意payload;
\2. 惡意服務程序任務名;
\3. 後門使用者名。
腳本下載下傳連結:
https://github.com/guardicore/labs_campaigns/tree/master/vollgar
檢測步驟:
1、下載下傳自查腳本detect_vollgar.ps1至本地,腳本内容詳見位址https://github.com/guardicore/labs_campaigns/blob/master/vollgar/detect_vollgar.ps1
2、“windows”+“r”,在彈出的運作界面搜尋powershell。
3、運作腳本。如果回顯中包含“evidence for vollgar campaign has been found on this host.”字樣,則說明目前系統可能已被感染。
若存在感染情況,請參考下列方法進行處理:
1、 移除探測自查結果中的攻擊痕迹。
2、 終止惡意程式
注:若出現直接運作powershell時提示**“無法加載檔案ps1****,因為在此系統中禁止執行腳本。有關詳細資訊,請參閱** “get-help about_signing”****。此提示是由于沒有權限執行該腳本。
可運作如下指令檢視目前執行政策:
get-executionpolicy
如果顯示“restricted”則為不允許執行任何腳本。
通過運作以下指令可修改其政策:
set-executionpolicy remotesigned
修改成功後即可使用powershell執行腳本
如需撤銷對其政策的修改,可通過運作以下指令進行恢複。
set-executionpolicy restricted
3.2 正常防護建議
\1. 關閉資料庫賬号登入方式 以windows身份驗證方式登入資料庫 并在windows政策裡設定密碼強度。
\2. 加強網絡邊界入侵防範和管理,在網絡出入口設定防火牆等網絡安全裝置,對不必要的通訊予以阻斷;
\3. 對暴露在網際網路上的網絡裝置、伺服器、作業系統和應用系統進行安全排查,包括但不限漏洞掃描、木馬監測、配置核查、web漏洞檢測、網站滲透測試等;
\4. 加強安全管理,建立網絡安全應急處置機制,啟用網絡和運作日志審計,安排網絡值守,做好監測措施,及時發現攻擊風險,及時處理;
轉載自https://mp.weixin.qq.com/s/feqduouz1hmi3urlw2ovdq