近日，Guardicore實驗室團隊監測到了一場可追溯至2018年5月的黑客攻擊活動。攻擊鏈從暴力破解開始，最終階段是在SQL伺服器上部署後門並執行多個惡意模塊，包括多功能遠程訪問工具（RAT）以及門羅幣和Vollar加密貨幣挖礦腳本。

基於不尋常的Vollar加密貨幣挖礦行為，Guardicore實驗室團隊將這場活動命名為「Vollgar」。據稱，每天平均約有3000台伺服器被感染，受害者來自各行各業，包括醫療保健、航空航天、IT、電信和高等教育等。

攻擊鏈分析

如上所述，攻擊鏈始於對MS-SQL的暴力破解。

在成功登錄後，攻擊者會對資料庫進行一系列配置修改，以為後續執行命令做準備。

不僅如此，攻擊者還會在MS-SQL資料庫環境和作業系統環境中設置多個後門用戶，以獲得儘可能多的特權。

Guardicore實驗室團隊表示，他們共發現了10多種不同的後門，它們賦予了攻擊者諸多能力，包括訪問伺服器、讀取文件系統內容、修改註冊表、下載或上傳文件以及執行命令。

惡意有效載荷二進位文件通過三個獨立的下載器腳本下載——兩個通過HTTP下載的VBScript和一個FTP腳本。

初始有效載荷名為「SQLAGENTIDC.exe」或「SQLAGENTVDC.exe」，它首先會在一長串進程上運行taskkill，目的是清除可能已經存在的挖礦惡意軟體，以獲得更多的計算資源，這些進程包括Rnaphin.exe、xmr.exe和winxmr.exe等。

然後，有效載荷會將自身複製到用戶的AppData文件夾下並再次執行複製。緊接著，它便會檢查網際網路連接，然後通過查詢百度地圖來獲取受害者的IP和地理位置並將這些信息發送給CNC。

最後，它會將其他幾個有效載荷下載到受感染的伺服器上——幾個RAT模塊和一個挖礦腳本。根據Guardicore實驗室團隊的說法，挖礦腳本會同時挖掘門羅幣和一種名為「VDS或Vollar」的加密貨幣。

其中，幾個RAT模塊提供了各種遠程控制功能，包括下載文件、安裝新的Windows服務、按鍵記錄、截屏、運行交互式shell終端、激活攝像頭和麥克風以及發起DDoS攻擊等。

結語

正如你所看到的那樣，這場黑客攻擊活動的目標是暴露在網際網路上的SQL伺服器。因此，我們強烈建議不要將資料庫伺服器公開到網際網路。相反，它們需要嚴格的白名單訪問策略以及啟用日誌記錄。

此外，將所有MS-SQL用戶帳戶密碼更改為強密碼也十分重要，這樣做在很大程度上可以避免你的伺服器成為暴力破解的犧牲品。