九游老哥

九游老哥

九游老哥科技

  • 基础设施清静

    基础设施清静

  • 数据清静

    数据清静

  • 云盘算清静

    云盘算清静

  • 工业互联网清静

    工业互联网清静

  • 物联网清静

    物联网清静

  • 信息手艺应用立异

    信息手艺应用立异

  • 所有产品

    所有产品

  • 所有解决计划

    所有解决计划

基础设施清静

  • 政府

    政府

  • 运营商

    运营商

  • 金融

    金融

  • 能源

    能源

  • 交通

    交通

  • 企业

    企业

  • 科教文卫

    科教文卫

  • 九游老哥云 九游老哥云
  • 九游老哥威胁情报中心NTI 九游老哥威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京九游老哥公益基金会 北京九游老哥公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

相助同伴审查更多 >

相助同伴动态

成为相助同伴

  • 九游老哥云 九游老哥云
  • 九游老哥威胁情报中心NTI 九游老哥威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京九游老哥公益基金会 北京九游老哥公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

手艺支持审查更多 >

产品支持

  • 九游老哥云 九游老哥云
  • 九游老哥威胁情报中心NTI 九游老哥威胁情报中心NTI
  • TechWorld手艺嘉年华 TechWorld手艺嘉年华
  • 北京九游老哥公益基金会 北京九游老哥公益基金会
  • 手艺博客 手艺博客
  • 乐成案例 乐成案例

返回列表

「威胁通告」Vollgar僵尸网络

2020-04-01

 

一、威胁概述

4月1日 ,Guardicore Labs团队宣布了一份恒久攻击运动的剖析报告 ,此攻击运动主要针对运行MS-SQL服务的Windows系统。剖析报告称 ,此攻击运动至少从2018年5月最先 ,攻击者会针对目的的MS-SQL举行暴力猜解 ,乐成登录目的系统后 ,再在系统中安排后门并运行远控工具等恶意程序。这一系列的攻击运动被命名为“Vollgar”。

九游老哥·(中国)俱乐部官方网站

通过暴力破解账户上岸系统再植入恶意程序是一种十分普遍的攻击手法 ,但报告中称 ,天天仍有2-3千个数据库在Vollgar攻击运动中被攻陷 ,其中包括中国、印度、韩国、土耳其和美国等国家 ,受影响的行业涵盖医疗、航空、IT、电信、教育等多个领域。

参考链接:

https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/

二、影响规模

保存MS-SQL弱口令的Windows系统

三、危害排查

3.1 detect_vollgar.ps1剧本自查

Guardicore Labs提供了PowerShell自查剧本Script – detect_vollgar.ps1 ,自查剧本detect_vollgar.ps1可实现外地攻击痕迹检测 ,检测内容如下:

  1. 文件系统中的恶意payload;
  2. 恶意服务历程使命名;
  3. 后门用户名。

剧本下载链接:

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

检测办法:

1、下载自查剧本detect_vollgar.ps1至外地 ,剧本内容详看法址https://github.com/guardicore/labs_campaigns/blob/master/Vollgar/detect_vollgar.ps1

2、“Windows”+“R” ,在弹出的运行界面搜索PowerShell。

3、运行剧本。若是回显中包括“Evidence for Vollgar campaign has been found on this host.”字样 ,则说明目今系统可能已被熏染。

九游老哥·(中国)俱乐部官方网站

若保存熏染情形 ,请参考下列要领举行处置惩罚:

  1. 移除探测自查效果中的攻击痕迹。
  2. 终止恶意程序

注:若泛起直接运行PowerShell时提醒“无法加载文件ps1 ,由于在此系统中榨取执行剧本。有关详细信息 ,请参阅 “get-help about_signing”。此提醒是由于没有权限执行该剧本。可运行如下下令审查目今执行战略:

1
get-executionpolicy

若是显示“Restricted”则为不允许执行任何剧本。

通过运行以下下令可修改其战略:

1
set-executionpolicy remotesigned

修改乐成后即可使用PowerShell执行剧本

如需作废对其战略的修改 ,可通过运行以下下令举行恢复。

1
set-executionpolicy Restricted

3.2 通例防护建议

  1. 关闭数据库账号登录方法  以windows身份验证方法登录数据库  并在windows战略里设置密码强度。
  2. 增强网络界线入侵提防和治理 ,在网络收支口设置防火墙等网络清静装备 ,对不须要的通讯予以阻断。
  3. 对袒露在互联网上的网络装备、服务器、操作系统和应用系统举行清静排查 ,包括但不限误差扫描、木马监测、设置核查、WEB误差检测、网站渗透测试等。
  4. 增强清静治理 ,建设网络清静应急处置惩罚机制 ,启用网络和运行日志审计 ,安排网络值守 ,做好监测步伐 ,实时发明攻击危害 ,实时处置惩罚。
?

您的联系方法

*姓名
*单位名称
*联系方法
*验证码 九游老哥·(中国)俱乐部官方网站
提交到邮箱

购置热线

  • 购置咨询:

    400-818-6868-1

提交项目需求

接待加入九游老哥科技 ,成为我们的相助同伴!
  • *请形貌您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方法
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *都会
  • *行业
  • *验证码 九游老哥·(中国)俱乐部官方网站
  • 提交到邮箱
九游老哥·(中国)俱乐部官方网站
九游老哥·(中国)俱乐部官方网站

服务支持

智能客服
智能客服
购置/售后手艺问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
九游老哥科技社区
九游老哥科技社区
资料下载|在线问答|手艺交流

信息清静信息清静

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

网站地图