Microsoft SQL服务器被黑客入侵 带宽被窃取
2022-8-1 14:21:15 Author: www.secpulse.com(查看原文) 阅读量:37 收藏

前言:Microsoft SQL服务器被黑客入侵,带宽被窃取,用户却无法察觉。信息时代,保障数据安全尤为重要。

黑客通过使用广告软件包、恶意软件,甚至入侵Microsoft SQL Server,将电脑服务器转换为通过在线代理服务器,从而产生收入。

为了窃取设备的带宽,黑客安装了名为“proxyware”的软件,该软件将设备的可用互联网带宽分配为代理服务器,远程用户可以将其用于各种任务,如测试、情报收集、内容分发或市场研究。Botters也喜欢代理服务,因为这样他们可以访问未被在线零售商列入黑名单的住宅IP地址。

作为共享带宽的回报,设备所有者可以从向客户收取的费用中获得抽成。例如,Peer2Profit服务显示,用户通过在数千台设备上安装该公司的软件,每月最高可以赚到6000美元。

1.png 

根据韩国Ahnlab公司研究人员今天发布的一份新报告显示,出现了一种新的恶意软件,该软件通过安装代理软件以达到用受害者的网络带宽来赚钱。黑客通过为用户设置电子邮件地址来获得带宽补偿,而用户可能只会察觉到网络速度或连接有时会变慢。

在设备上隐藏代理客户端

Ahnlab公司观察到,黑客通过捆绑广告软件包和其他恶意软件,为Peer2Profit和IPRoyal等服务安装了代理软件。

恶意软件检查代理客户端是否在主机上运行,如果停用,它可以使用 "p2p_start() 函数来启动。

2.png 

对于 IPRoyal 的 Pawns,恶意软件更喜欢安装客户端的 CLI 版本而不是 GUI 版本,因为其目的是让该进程在后台隐蔽地运行。

3.png 

在最近的观察中,黑客使用DLL形式的Pawns,以编码的字符串形式提供他们的电子邮件和密码,并用 "Initialize() "startMainRoutine() "函数来启动。

4.png

在设备上安装代理软件后,该软件会将其添加为可用代理,远程用户可以使用它在互联网上进行任何操作。这也意味着其他黑客可以在受害者不知情的情况下使用这些代理进行非法活动。

感染Microsoft SQL服务器

根据 Ahnlab的报告,恶意软件运营商使用这种方案来创收,还会针对易受攻击的 MS-SQL 服务器安装 Peer2Profit 客户端。

这种情况自 2022 年 6 月上旬以来一直在发生,从受感染系统中检索到的大多数日志都显示存在一个名为“sdk.mdf”的 UPX 打包数据库文件。

5.png 

Microsoft SQL服务器更常见的威胁加密货币劫持加密货矿工后台挖矿,也有黑客通过Cobalt Strike信标将服务器作为进入网络的枢纽点 

使用代理软件客户端背后的原因可能是不被发现,这样可以获取更大的利润。不过,目前还不清楚黑客通过这种方法赚了多少钱。

6.png 

在今天的信息时代,数据是一种十分宝贵的资源。Microsoft SQL 服务器通常位于具有丰富带宽的公司网络或数据中心,恶意代理服务商非法获取后将其出售用于非法目并获利。但是面对黑客的攻击我们可以通过“IP代理检测”或“”风险画像来识别出VPN、代理或Tor连接,以此来保护我们的数据安全。

本文作者:埃文科技

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/184530.html


文章来源: https://www.secpulse.com/archives/184530.html
如有侵权请联系:admin#unsafe.sh