腾讯安全：新型木马“暴击”MsSql服务器 企业机密或被尽数“绑架”
2019-03-21 11:29:01   来源：中华网   评论：0 点击：

作为用于存取数据以及查询、更新和管理关系数据库系统的服务器，SQL(Structured Query Language)成为服务器用户、非专业开发人员、网站主机和创建客户端应用程序等编程爱好者的理想选择方案。由于表现出攻击简单、灵活且危害极大的高性价比，SQL服务就此成为不法分子发动攻击的“重灾区”。公开数据显示，在挖矿木马针对Windows服务器的攻击中，MsSql是其“最爱”的攻击目标。

近期，腾讯安全御见威胁情报中心监测到一例通过爆破攻击MsSql服务器进行挖矿的新型木马。该木马能够在扫描爆破攻击MsSql服务器的基础上，下载植入挖矿病毒，利用服务器资源挖取门罗币。更为严重的是，该木马还会在被攻陷服务器内植入安装多个远程控制木马，对服务器进行全盘的远程控制，甚至会使企业关键服务器成为不法黑客深入攻击的跳板，对企业业务系统的运行和机密数据信息安全造成一定的威胁。

目前，腾讯安全御点终端安全管理系统已实现对该木马的成功拦截，并提醒广大企业用户务必提高安全意识，做好网络安全防范工作，确保企业数据和后台服务的安全性。

（图：腾讯御点终端安全管理系统）

据腾讯安全技术专家介绍，该挖矿木马对MsSql服务器的攻击手法简单、粗暴。爆破成功后，MsSql服务器将迅速被木马挖矿执行程序“绑架”进行挖掘门罗币。矿机一经启动，将大量占用系统资源，从而导致服务器因“负重过大”性能急剧下降，继而影响业务系统运行，严重影响企业正常生产经营。

监测数据显示，该木马目前已获得15枚门罗币，约合人民币5200元。由此可见，该木马的挖矿能力不容小觑，若不加以阻拦，由其带来的损失将会进一步扩大。

（图：挖矿木马执行程序植入）

除具备“优秀”的挖矿能力外，该木马还展现出极佳的“扩散力”。在成功感染MsSql服务器后，该木马还会向攻陷服务器发送多个远控木马，随后伪装成“网络宽带”、“MYSQL”、“储存设备”等系统服务进行驻留，并执行响应远控指令、检测并上传杀软信息和系统信息、监控键盘和剪切板输入以及下载执行其他木马等操作。至此，企业数据库服务器将完全被非法黑客掌控，后果不堪设想。

鉴于此例新型挖矿木马表现出的破坏性和高感染力，腾讯安全反病毒实验室负责人马劲松提醒企业用户应对新型挖矿木马对MsSql服务器的爆破攻击提高警惕，建议用户及时修补服务器安全漏洞，并修改SQL Sever服务1433等端口的默认访问规则，加固SQL Server服务器的访问控制；采用高强度密码，切勿使用“sa账号密码”等弱口令；同时推荐在MsSql服务器上部署安装腾讯御点终端安全管理系统，及时防范此类挖矿木马的入侵，确保企业数据库信息的安全和业务运作的性能。