「貪吃蛇2號」酷愛爆破攻擊 SQL伺服器再變門羅幣礦機

經過前段時間「斷崖式」下跌之後，主流數字貨幣近期迎來「破發」，再次成為投資者追捧的寵兒。除正常「挖礦」以外，不法黑客也動起了歪腦筋，通過種種攻擊手段，植入挖礦惡意程序獲取非法收益。近期，騰訊安全御見威脅情報中心監測到黑產團伙針對MS SQL伺服器進行弱口令爆破攻擊，進而植入門羅幣挖礦木馬及anydesk遠程控制軟體佔有伺服器，伺機侵佔更多伺服器資源謀取暴利。截止目前，該團伙已入侵國內超500台企業伺服器。

目前，騰訊御點終端安全管理系統已全面攔截並查殺該病毒。騰訊安全技術專家提醒企業網管，伺服器被不法黑客暴力破解會導致企業關鍵業務信息泄露，建議儘快安裝伺服器漏洞補丁，並停止使用弱口令，以防作惡團伙攻擊。

由於該團伙與今年4月被曝的「貪吃蛇」挖礦木馬團伙攻擊手法極為類似，病毒挖礦的同時還會封堵系統的135、139、445等常用埠，以防被攻佔的系統再被其他黑產團伙入侵控制。此外，在控制資源挖礦期間，其還會清除已被其他攻擊者控制的挖礦木馬。目前，安全廠商暫無法確定其是否歸屬於「貪吃蛇」挖礦木馬團伙，騰訊安全技術專家將其命名為「貪吃蛇2號」。

經分析，不法黑客會通過MS SQL爆破入侵伺服器，隨後利用放置在TQ.exe資源的6個提權工具進行提權，包括2015-2018年最為典型的提權漏洞，涵蓋Windows Vista、Windows 10、Windows Server系統。這意味著，攻擊者一旦掌握這一漏洞，短時間內可獲得用戶的系統級別許可權，並執行低許可權用戶無法執行的惡意操作，以此大幅提升攻擊危害。

更為嚴重的是，利用MS SQL系統弱密碼攻擊是「貪吃蛇2號」團伙的主要手段。一旦爆破入侵成功，其會利用提權漏洞採取進一步的攻擊行動，以便完全控制伺服器。截至目前，「貪吃蛇2號」團伙木馬傳播整體呈現小幅增長趨勢。

在企業雲計算髮展的同時,企業數據泄露已經成為全球最常見的網路安全事件之一。資料庫伺服器被不法黑客暴力破解再完全控制，導致企業計算資源被惡意挖礦、企業關鍵業務信息泄露，同時入侵者還可能通過這些被控制的伺服器繼續在內網攻擊傳播，直接映射網路信息安全隱患。

對此，騰訊安全反病毒實驗室負責人馬勁松表示，建議廣大企業網管加固SQL Server伺服器，修補伺服器安全漏洞，使用安全的密碼策略，防止不法黑客暴力破解；同時修改SQL Sever服務默認埠，在原始配置基礎上更改默認1433埠設置，並且設置訪問規則；推薦企業用戶可在伺服器部署騰訊御點終端安全管理系統並及時更新安裝伺服器補丁，防止相關病毒木馬利用windows提權漏洞發動攻擊。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！