最近(jìn)，Guadricore的(de)IT安全研究人(r£ εβén)員(yuán)透露，一(yī)個(gè)名為(w詶↓i)“Vollgar”的(de)僵屍網絡正在從(có$✔≠ng)120多(duō)個(gè)IP地(dì)址向Microsoft S✔ €QL（MSSQL）數(shù)據庫發起攻擊，該攻擊自(zì)2018年(←₩nián)5月(yuè)以來(lái)一(yī)直持續到(dào)現(xiàn)在δ≤Ω（将近(jìn)兩年(nián)）。

該惡意軟件(jiàn)通(tōng)過暴力破解技(jì)術(≈≥shù)成功獲得(de)控制(zhì)權後，βε便使用(yòng)這(zhè)些(xiē)數(shù)據庫來(lái)挖掘加密貨币。當前，φ®正在開(kāi)采的(de)加密貨币是(shì↕π‌)V-Dimension（Vollar）和(hé)Monero（δ♣門(mén)羅币），後者由于其廣為(wèi)人(rén)知(zhī)的(de)‍✘匿名功能(néng)而在該領域非常受歡迎。

進一(yī)步的(de)詳細統計(jì)信息顯示，61％的(de)計(jì)算(s>‌≥φuàn)機(jī)僅感染了(le)2天或更短(duǎ‍>n)的(de)時(shí)間(jiān)，21λ₽✔δ％的(de)計(jì)算(suàn)機(≠±jī)感染了(le)7-14天以上(shànβ☆g)，其中17.1％的(de)計(jì)算(s±®✘uàn)機(jī)受到(dào)了(le)重複感染。後一(yī)種情況可(kě)能 ↑(néng)是(shì)由于缺乏适當的(de)安全措施而導☆β緻在首次感染服務器(qì)時(shí)無法徹底消除該惡意軟件(jiàn)。&✘π

受感染最嚴重的(de)國(guó)家(jiā)包↕≤→括中國(guó)、印度、美(měi)國(guó)、韓國(guó)和(hé)土(t ↑♦λǔ)耳其。

3月(yuè)上(shàng)旬平均每天感染數(shù)量超過3000次 數("™¶shù)據來(lái)源：Guardicore

除了(le)挖礦，攻擊者還(hái)會(huì)竊取數(shù₽∞)據，研究者指出：

除了(le)消耗寶貴的(de)CPU資源挖礦之外(wài)，這(zhè)些(xiē)數(sh÷®ù)據庫服務器(qì)吸引攻擊者的(de)原因還(hái)在于它們擁有(yǒu)的(de)大(d±↓à)量數(shù)據。這(zhè)些(xiē)機(jī)器(qì)可‍♦'(kě)能(néng)存儲個(gè)人(rén)信息，βδ 例如(rú)用(yòng)戶名、密碼、信用(yòng)卡号等，這(zhè)些(x<±iē)信息僅需簡單的(de)暴力就(jiù)可(k↕Ω←₽ě)以落入攻擊者的(de)手中。

為(wèi)幫助感染者，Guardicore建立了(le)一(yī)個(₹→→εgè)Github代碼庫（https://github.com∑☆/guardicore/labs_campaign¥‌s/tree/master/Vollgar），該庫有(yǒu)用(yòng)于識别惡意軟件(j↑♥✘iàn)的(de)一(yī)系列特征數(shù)據，包括：

1-作(zuò)為(wèi)攻擊的(de)一(yī)部分(fēn)✔γ÷丢棄的(de)二進制(zhì)文(wén)件(jiàn)和(hé)腳本的(de)名稱

2-回傳服務器(qì)的(de)域和(hé)IP地(dì)址 λ₽©₽

3-攻擊者設置的(de)計(jì)劃任務和(hé)服務的ε★£×(de)名稱

4-攻擊者創建的(de)後門(mén)憑證

5-Guardicore制(zhì)作(zuò)的(de)Powersh$≠ell腳本，用(yòng)于檢測Windows機(jī)器(qì)上(shàng)Vollg™ $"ar活動的(de)殘留

該庫還(hái)提供了(le)腳本運行(xíng)指南(nán)和(hé)行(xφ♣✘↓íng)動建議(yì)，其中包括：

立即隔離(lí)受感染的(de)計(jì)算(suàn)機(jī)，并阻止其₩₹訪問(wèn)網絡中的(de)其他(tā)資産。ε•<₽将所有(yǒu)MS-SQL用(yòng)戶帳戶​≤₽密碼更改為(wèi)強密碼也(yě)很(hěn)重要(yà×∑​∏o)，以避免被此攻擊或其他(tā)暴力攻擊再次感染。最後，β÷£還(hái)可(kě)以采取某些(xiē)主動性的(¶≠♠✔de)預防措施來(lái)保護自(zì)己的(de)數σ•(shù)據庫。例如(rú)将數(shù)據庫與互聯網斷開(kāi)，從(cóng)而限制>≠(zhì)外(wài)部訪問(wèn)；實施基于複雜(zá)訪問(wèn)的(de↔β©φ)控制(zhì)機(jī)制(zhì)，該機(jī)制(zhì)僅将需要(yào)訪問‌∑♠(wèn)特定服務器(qì)的(de)IP地(dì)址列入白(bái)₩∞€名單，并限制(zhì)登錄嘗試的(de)次數(shù)以防止暴力破解。

聲明(míng)：本文(wén)來(lái)自(zì)安全牛，版權歸作(zuòλ→'<)者所有(yǒu)。文(wén)章(zhāng)內(nèi)容僅代表作(‌ >zuò)者獨立觀點，不(bù)代表海(hǎi)博科(kē)技(jì)立場(chǎn÷βg)，轉載目的(de)在于傳遞更多(duō)信息。如(rú)有(∞✘yǒu)侵權，請(qǐng)聯系 lilu@haibo-tech.com。 ↑→∑