作為用于存取數(shù)據(jù)以及查詢、更新和管理關(guān)系數(shù)據(jù)庫(kù)系統(tǒng)的服務(wù)器，SQL(Structured Query Language)成為服務(wù)器用戶、非專業(yè)開(kāi)發(fā)人員、網(wǎng)站主機(jī)和創(chuàng)建客戶端應(yīng)用程序等編程愛(ài)好者的理想選擇方案。由于表現(xiàn)出攻擊簡(jiǎn)單、靈活且危害極大的高性價(jià)比，SQL服務(wù)就此成為不法分子發(fā)動(dòng)攻擊的“重災(zāi)區(qū)”。公開(kāi)數(shù)據(jù)顯示，在挖礦木馬針對(duì)Windows服務(wù)器的攻擊中，MsSql是其“最愛(ài)”的攻擊目標(biāo)。

近期，騰訊安全御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到一例通過(guò)爆破攻擊MsSql服務(wù)器進(jìn)行挖礦的新型木馬。該木馬能夠在掃描爆破攻擊MsSql服務(wù)器的基礎(chǔ)上，下載植入挖礦病毒，利用服務(wù)器資源挖取門羅幣。更為嚴(yán)重的是，該木馬還會(huì)在被攻陷服務(wù)器內(nèi)植入安裝多個(gè)遠(yuǎn)程控制木馬，對(duì)服務(wù)器進(jìn)行全盤的遠(yuǎn)程控制，甚至?xí)蛊髽I(yè)關(guān)鍵服務(wù)器成為不法黑客深入攻擊的跳板，對(duì)企業(yè)業(yè)務(wù)系統(tǒng)的運(yùn)行和機(jī)密數(shù)據(jù)信息安全造成一定的威脅。

目前，騰訊安全御點(diǎn)終端安全管理系統(tǒng)已實(shí)現(xiàn)對(duì)該木馬的成功攔截，并提醒廣大企業(yè)用戶務(wù)必提高安全意識(shí)，做好網(wǎng)絡(luò)安全防范工作，確保企業(yè)數(shù)據(jù)和后臺(tái)服務(wù)的安全性。

據(jù)騰訊安全技術(shù)專家介紹，該挖礦木馬對(duì)MsSql服務(wù)器的攻擊手法簡(jiǎn)單、粗暴。爆破成功后，MsSql服務(wù)器將迅速被木馬挖礦執(zhí)行程序“綁架”進(jìn)行挖掘門羅幣。礦機(jī)一經(jīng)啟動(dòng)，將大量占用系統(tǒng)資源，從而導(dǎo)致服務(wù)器因“負(fù)重過(guò)大”性能急劇下降，繼而影響業(yè)務(wù)系統(tǒng)運(yùn)行，嚴(yán)重影響企業(yè)正常生產(chǎn)經(jīng)營(yíng)。

監(jiān)測(cè)數(shù)據(jù)顯示，該木馬目前已獲得15枚門羅幣，約合人民幣5200元。由此可見(jiàn)，該木馬的挖礦能力不容小覷，若不加以阻攔，由其帶來(lái)的損失將會(huì)進(jìn)一步擴(kuò)大。

除具備“優(yōu)秀”的挖礦能力外，該木馬還展現(xiàn)出極佳的“擴(kuò)散力”。在成功感染MsSql服務(wù)器后，該木馬還會(huì)向攻陷服務(wù)器發(fā)送多個(gè)遠(yuǎn)控木馬，隨后偽裝成“網(wǎng)絡(luò)寬帶”、“MYSQL”、“儲(chǔ)存設(shè)備”等系統(tǒng)服務(wù)進(jìn)行駐留，并執(zhí)行響應(yīng)遠(yuǎn)控指令、檢測(cè)并上傳殺軟信息和系統(tǒng)信息、監(jiān)控鍵盤和剪切板輸入以及下載執(zhí)行其他木馬等操作。至此，企業(yè)數(shù)據(jù)庫(kù)服務(wù)器將完全被非法黑客掌控，后果不堪設(shè)想。

鑒于此例新型挖礦木馬表現(xiàn)出的破壞性和高感染力，騰訊安全反病毒實(shí)驗(yàn)室負(fù)責(zé)人馬勁松提醒企業(yè)用戶應(yīng)對(duì)新型挖礦木馬對(duì)MsSql服務(wù)器的爆破攻擊提高警惕，建議用戶及時(shí)修補(bǔ)服務(wù)器安全漏洞，并修改SQL Sever服務(wù)1433等端口的默認(rèn)訪問(wèn)規(guī)則，加固SQL Server服務(wù)器的訪問(wèn)控制；采用高強(qiáng)度密碼，切勿使用“sa賬號(hào)密碼”等弱口令；同時(shí)推薦在MsSql服務(wù)器上部署安裝騰訊御點(diǎn)終端安全管理系統(tǒng)，及時(shí)防范此類挖礦木馬的入侵，確保企業(yè)數(shù)據(jù)庫(kù)信息的安全和業(yè)務(wù)運(yùn)作的性能。

cc

收藏 海報(bào)分享