英國網路安全公司sophos今天在一份報告中表示,建議微軟sql資料庫的所有者加強保護伺服器的安全。該公司檢測到一個以mssql資料庫為目標的殭屍挖礦網路,該攻擊使用蠻力攻擊,試圖猜測“ sa”(伺服器管理員)帳戶的密碼。
一旦駭客闖入易受攻擊的mssql系統,他們將建立另一個名為“ dbhelp”的資料庫使用者名稱,並安裝一個加密貨幣挖礦程式,該程式會濫用伺服器的資源來為攻擊者牟利。
自2018年底以來,惡意挖礦程式一直很活躍
sophos表示,殭屍挖礦網路的名稱為kingminer,與先前在2018年末網路安全公司check point和2019年7月奇虎360安全部門的一份報告中記錄的犯罪團伙相同。
儘管大多數惡意軟體殭屍網路在活動僅幾周或幾個月後就消失了,但kingminer的運營似乎已經為騙子賺了很多錢,甚至可以繼續攻擊直到今天。
此外,殭屍網路的程式碼也隨著時間的流逝而發展,這表明駭客已投入資金來改進其攻擊工具和例程。
sophos說,kingminer操作現在更加持久,並且能夠在執行mssql資料庫的基礎windows伺服器上獲得root使用者。這是透過利用特權漏洞(例如cve-2017-0213或cve-2019-0803)的提升來完成的,這些漏洞會授予kingminer惡意軟體訪問許可權以執行具有管理員特權的程式碼。
sophos表示,kingminer運營商已新增此額外步驟,以防止其操作受到安全解決方案或可能感染同一伺服器的其他殭屍網路的干擾。
kingminer嘗試擴大訪問範圍
kingminer團伙當前正在擴充套件的另一個領域是將訪問許可權從mssql伺服器擴充套件到公司被駭客入侵的網路上資料庫所連線的其他系統。
kingminer專注於擴充套件對內部網路的訪問並不是什麼新鮮事物,因為在許多其他加密貨幣挖礦殭屍網路中也發現了這種相同的行為。但是,目前,kingminer尚處於實施此功能的初期階段。
它以多種方式執行此操作。首先是kingminer現在正在試驗eternalblue漏洞,該漏洞與2017年wannacry和notpetya勒索軟體爆發中使用的漏洞相同。
eternalblue允許攻擊者透過其伺服器訊息塊(smb)協議實現中的錯誤來訪問遠端windows系統。儘管自2017年以來已提供修復程式,但並非所有公司都願意為易受攻擊的系統打補丁。
殭屍網路嘗試在本地擴充套件的第二種方法是在受感染的mssql伺服器上下載其他工具和惡意軟體。其中包括mimikatz密碼轉儲器,gh0st遠端訪問木馬和gates後門木馬。
相信kingminer這樣做是為了竊取資料庫伺服器可能連線到的其他系統的密碼。但是,sophos說,這仍處於早期階段。
這家安全公司說:“ mimikatz的存在是一個新的發展,只有在最新的儲存庫中才能找到。我們還沒有看到它被使用過,但下載指令碼引用了它。這很可能正在進行中。”
kingminer為bluekeep修補系統
但是sophos發現的最奇怪的功能是kingminer操作員還掃描了受感染的系統,以檢視它是否容易受到遠端桌面協議中的bluekeep漏洞的攻擊。
如果發現系統容易受到攻擊,則kingminer攻擊者將禁用對資料庫的rdp訪問,以防止伺服器被其他惡意軟體操作入侵。
總而言之,kingminer表明,儘管門羅幣價格上漲和下跌,惡意軟體殭屍挖礦網路仍在繼續獲利。這種獲利使駭客有理由去研究易受攻擊的系統,尤其是在mssql資料庫之後。mssql資料庫已成為加密挖礦殭屍網路針對性最強的伺服器。
攻擊mssql系統的其他殭屍網路包括vollgar,nansh0u,mykings(smominru)和massminer。
為了防止kingminer的攻擊,最簡單的方法是使用強密碼保護sa帳戶。該sa帳戶被認為是與賬戶一個mssql系統的最高許可權,並應相應擔保。
sophos最近的報告中提供了針對最近的kingminer攻擊的危害指標,報告原文見此pdf。
