三起数据库攻击的活动 有挖矿、数据泄露及DDoS僵尸网络 报告称攻击来自我国

来自安全公司GuardiCore Labs Security的研究人员,发现了多起针对数据库服务器的攻击活动,据称主要的攻击者和受害者都在我国。攻击者的目标是在全球范围内寻找系统挖掘加密货币,泄露敏感数据,并建立DDoS僵尸网络

三起网络攻击 主要针对MSSQL和MySQL数据库服务器

专家们在最近几个月观察到数以千计的网络攻击,并确定至少三个攻击活动,Hex、Hanako和Taylor,分别针对运行在Windows和Linux机器上的MS SQL和MySQL服务器。Guardicore 发表的分析报告称,

“GuardiCore实验室在过去几个月里,一直在调查,某犯罪团伙在全球范围内发起的攻击活动”  

“这些运动是从一个大型的协调性基础设施发起的,主要针对运行数据库服务的服务器。到目前为止,我们已经能够确定三种攻击变种,Hex恶意软件、Hanako恶意软件Taylor恶意软件 ,分别针对不同的SQL Server,每种都有自己的目标、规模和针对性服务。

https://www.guardicore.com/2017/12/beware-the-hex-men/

专家指出,这三个恶意软件被犯罪团伙用于不同目的,不同攻击场景包括:

报告称攻击者来自我国 

专家们观察到攻击者,主要是发动Taylor攻击。他们每个月记录到数百次Hex和Hanako攻击,以及数万起Taylor攻击。绝大多数受感染的机器在中国,其他感染在泰国、美国、日本等地也有发现。与僵尸网络类似,受害者被感染后也加入了攻击活动,这对于溯源来说有一定难度。

研究人员注意到,攻击者几乎每个月就要更换所有使用的机器,据目前收集的证据表明,攻击组织在我国。在恶意软件代码包括中文评论,Trojan RAT伪装成流行的中文程序,另外配置文件列出的电子邮件地址,来自我国的供应商。

“确定攻击活动的范围,是一个相当大的挑战。犯罪团伙具备相当的实力,他们每次攻击能够生成300多个独特的二进制文件,并不断变换其攻击的机器和域名,同时操纵成千上万的受害者,作为其攻击基础架构的一部分。“

攻击者采用种种办法擦除攻击痕迹

黑客利用蛮力攻击,获取对目标数据库服务器的未经授权的访问,然后运行一系列预定义的SQL命令以获得持久性,并逃避审计日志。黑客利用已经受到威胁的系统网络,来对数据库服务器进行暴力攻击,并传播恶意软件,进而维持已有的基础架构。

所有恶意软件变种都会在数据库中创建后门用户,并打开远程桌面端口,利用这种技术,攻击者可以远程下载并安装其有效payload(即加密货币矿工、远程访问木马RAT或DDoS恶意软件)。研究人员在周二发表的博客文章中写道,

“在攻击后期,攻击者通过运行shell命令,停止或禁用各种防病毒和监视应用程序。”

“反病毒针对的是Avira和Panda Security等知名产品,以及Quick Heal和BullGuard等小众软件的混合体。最后一步,攻击者试图通过删除任何不必要的注册表、文件和文件夹条目,来掩盖他们的踪迹。

攻击者使用预定义的批处理文件和Visual Basic脚本,掩盖相关痕迹。管理员应该检查他们的数据库或系统中,是否存在以下用户名,以确定他们是否被黑客入侵。更多信息可在报告中找到,包括入侵指标(IoCs)。

入侵指标IOCs

Domains

  • cct119@com
  • down@mys2016@info
  • js@mys2016@info
  • js@mykings@top
  • www@cyg2016@xyz
  • hc58@msns@cn

 File and Log Servers

  • 124.152.219.49
  • 221.194.44.161
  • 123.249.12.230
  • 58.218.200.2
  • 222.186.138.80
  • 119.249.54.119
  • 222.186.129.67
  • 221.194.44.224
  • 222.186.52.201
  • 222.186.50.187
  • 171.92.208.150
  • 221.194.44.219
  • 103.230.108.85
  • 119.28.133.78
  • 123.249.24.229
  • 222.186.10.245
  • 222.186.57.236
  • 222.186.3.18
  • 221.194.44.211
  • 222.186.59.216
  • 180.76.146.78
  • 123.249.76.25
  • 121.18.238.80
  • 222.186.193.132
  • 222.186.42.123
  • 123.249.24.231
  • 124.89.90.228
  • 182.18.21.194
  • 123.249.12.233
  • 114.115.209.191
  • 103.42.180.113
  • 123.249.27.26

 Users

  • hanako
  • kisadminnew1
  • 401hk$
  • guest
  • Huazhongdiguo110

发表评论