新型挖礦木馬來了!近日,騰訊安全威脅情報中心檢測到針對MSSQL伺服器攻擊的挖礦木馬,該挖礦木馬主要針對MSSQL服務進行爆破弱口令攻擊,爆破成功後會植入門羅幣挖礦木馬進行挖礦。據騰訊安全評估,截止目前已有上萬臺伺服器淪為門羅幣礦機。對此,騰訊安全專家提醒企業應避免使用弱口令。同時,騰訊安全終端安全管理系統已可攔截查殺該挖礦木馬。
據騰訊安全專家介紹,該黑產團夥對MSSQL伺服器進行爆破成功後,會下載執行HFS伺服器上的惡意文件。從挖礦木馬的HFS伺服器計數估計,已有上萬臺MSSQL伺服器被植入挖礦木馬,另有數十臺伺服器被安裝後門。挖礦木馬HFS文件列表如下。
需要注意的是,攻擊者在失陷伺服器上下載frpc內網穿透工具安裝後門,並添加用戶以方便入侵者遠程登錄該伺服器的行為,會進一步增加黑客入侵風險,使企業資料庫伺服器淪陷而導致嚴重信息洩露事件發生。其中,Dllhost.exe是一款開源的內網穿透工具Frpc,Bat負責生成frpc配置文件,以及設置服務啟動項,目的是將本機的 3389 埠暴露給黑客伺服器,黑客可直接通過RDP連接到受害伺服器,進而控制企業內網。
面對日益猖獗的黑產團夥,騰訊安全專家建議企業從多方面採取措施,保障伺服器安全。首先,企業應加強網絡安全意識,努力提高安全防範能力。其次,企業應在所有伺服器上避免使用弱口令,爆破攻擊通常是黑客試水的第一步,使用弱口令非常容易導致企業資產被入侵。此外,為避免遭遇該挖礦木馬迫害,騰訊安全建議政企機構部署專業防護軟體。
值得一提的是,目前騰訊安全旗下安全產品已針對該挖礦木馬的入侵行為進行檢測和攔截。其中,騰訊安全主機安全支持MSSQL弱密碼檢測,支持查殺該挖礦木馬。此外,騰訊安全主機安全還提供雲上終端的防毒殺毒、防入侵、漏洞管理、基線管理等。騰訊安全終端安全管理系統能夠提供企業終端的防毒殺毒、防入侵、漏洞管理、基線管理等能力,幫助查殺該團夥入侵釋放的挖礦程序,內網埠映射工具。