騰訊安全：上萬臺MSSQL服務(wù)器淪為門羅幣礦機

新型挖礦木馬來了!近日，騰訊安全威脅情報中心檢測到針對MSSQL服務(wù)器攻擊的挖礦木馬，該挖礦木馬主要針對MSSQL服務(wù)進行爆破弱口令攻擊，爆破成功后會植入門羅幣挖礦木馬進行挖礦。據(jù)騰訊安全評估，截止目前已有上萬臺服務(wù)器淪為門羅幣礦機。對此，騰訊安全專家提醒企業(yè)應(yīng)避免使用弱口令。同時，騰訊安全終端安全管理系統(tǒng)已可攔截查殺該挖礦木馬。

據(jù)騰訊安全專家介紹，該黑產(chǎn)團伙對MSSQL服務(wù)器進行爆破成功后，會下載執(zhí)行HFS服務(wù)器上的惡意文件。從挖礦木馬的HFS服務(wù)器計數(shù)估計，已有上萬臺MSSQL服務(wù)器被植入挖礦木馬，另有數(shù)十臺服務(wù)器被安裝后門。挖礦木馬HFS文件列表如下。

需要注意的是，攻擊者在失陷服務(wù)器上下載frpc內(nèi)網(wǎng)穿透工具安裝后門，并添加用戶以方便入侵者遠程登錄該服務(wù)器的行為，會進一步增加黑客入侵風(fēng)險，使企業(yè)數(shù)據(jù)庫服務(wù)器淪陷而導(dǎo)致嚴(yán)重信息泄露事件發(fā)生。其中，Dllhost.exe是一款開源的內(nèi)網(wǎng)穿透工具Frpc，Bat負責(zé)生成frpc配置文件，以及設(shè)置服務(wù)啟動項，目的是將本機的3389端口暴露給黑客服務(wù)器，黑客可直接通過RDP連接到受害服務(wù)器，進而控制企業(yè)內(nèi)網(wǎng)。

面對日益猖獗的黑產(chǎn)團伙，騰訊安全專家建議企業(yè)從多方面采取措施，保障服務(wù)器安全。首先，企業(yè)應(yīng)加強網(wǎng)絡(luò)安全意識，努力提高安全防范能力。其次，企業(yè)應(yīng)在所有服務(wù)器上避免使用弱口令，爆破攻擊通常是黑客試水的第一步，使用弱口令非常容易導(dǎo)致企業(yè)資產(chǎn)被入侵。此外，為避免遭遇該挖礦木馬迫害，騰訊安全建議政企機構(gòu)部署專業(yè)防護軟件。

值得一提的是，目前騰訊安全旗下安全產(chǎn)品已針對該挖礦木馬的入侵行為進行檢測和攔截。其中，騰訊安全主機安全支持MSSQL弱密碼檢測，支持查殺該挖礦木馬。此外，騰訊安全主機安全還提供云上終端的防毒殺毒、防入侵、漏洞管理、基線管理等。騰訊安全終端安全管理系統(tǒng)能夠提供企業(yè)終端的防毒殺毒、防入侵、漏洞管理、基線管理等能力，幫助查殺該團伙入侵釋放的挖礦程序，內(nèi)網(wǎng)端口映射工具。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）