去年12月，安全研究人员注意到，无极4团队针对公开暴露的Microsoft SQL服务器的暴力攻击有所增加。事实证明，这些攻击可以追溯到2018年5月，平均每天通过远程访问木马(rat)和密码破解者感染几千个数据库服务器。

 

来自Guardicore实验室的研究人员将这场正在进行的运动称为“Vollgar”，并将其追溯到中国。这些扫描和攻击来自中国的IP地址——可能与被感染和劫持的机器有关——指挥控制(C&C)服务器也在中国托管，并使用中文作为其基于web的管理界面。

 

受感染的MS SQL服务器属于多个行业的组织，包括医疗、航空、IT、电信和教育，其中许多服务器位于中国、印度、美国、韩国和土耳其。

 

研究人员在今天发布的一份报告中说:“至于感染期，大多数(60%)受感染的机器只保持了很短的一段时间。”然而，几乎有20%的服务器被感染超过一周，甚至超过两周。这证明了攻击是多么成功地隐藏了它的踪迹，并绕过了抗病毒药物和EDR产品等缓解措施。另一种可能是，这些东西很可能一开始就不存在于服务器上。”

 

感染和再感染

 

Guardicore每天的感染率在2000到3000台机器之间，考虑到互联网上只有大约50万台MS-SQL服务器——与其他类型的数据库服务器相比，这个数字很小。更令人惊讶的是，10%的系统再次被感染，这表明管理员试图清除恶意软件，但错过了一些组件，无极4新聞或未能改变最初导致妥协的薄弱凭据。

 

这次运动造成的感染是彻底的，有多个组成部分。攻击者还积极地从电脑上清除属于其他竞争对手的恶意软件。

 

一旦攻击者获得了对数据库服务器的访问权，他们就会更改配置，通过MS-SQL启用WMI脚本和命令执行，而这些功能可能已经被管理员禁用了。他们还确保cmd。exe、ftp.exe和其他重要的二进制文件是可执行的，它们继续向数据库和操作系统添加后门管理帐户。

 

感染过程包括清除几个注册表项，这些项可能被预先存在的恶意软件用来在系统重新启动时自动启动，或者附加到合法的可执行文件上。部署的有效载荷，命名为SQLAGENTIDC.exe或SQLAGENTVDC。也可以扫描正在运行的进程，找出已知的恶意软件并杀死它。然后，他们下载多个远程访问模块和一个基于XMRig的加密货币挖掘程序。

 

远程访问模块与不同端口上的命令和控制域进行联系，包括22251、9383和3213。研究人员认为，这样做是为了冗余，以防构成恶意软件基础设施的服务器之一宕机。

 

“我们发现攻击者使用了两个C&C平台，”研究人员说。“这两个平台由不同的供应商开发，但为控制它们的攻击者提供了类似的各种远程控制功能:下载文件、安装新的Windows服务、键盘记录、屏幕捕获、运行交互式shell终端、激活摄像头和麦克风、发起DDoS攻击，等等。”

 

cryptomining组件使用服务器的CPU资源来挖掘Monero和另一个名为VDS(或Vollar)的加密硬币——这就是该战役的名称。CNC域名也使用自由TLD下的硬币名称。