騰訊安全：新型木馬“暴擊”MsSql服務器 企業機密或被盡數“綁架”

作為用于存取數據以及查詢、更新和管理關系數據庫系統的服務器，SQL(Structured Query Language)成為服務器用戶、非專業開發人員、網站主機和創建客戶端應用程序等編程愛好者的理想選擇方案。由于表現出攻擊簡單、靈活且危害極大的高性價比，SQL服務就此成為不法分子發動攻擊的“重災區”。公開數據顯示，在挖礦木馬針對Windows服務器的攻擊中，MsSql是其“最愛”的攻擊目標。

近期，騰訊安全御見威脅情報中心監測到一例通過爆破攻擊MsSql服務器進行挖礦的新型木馬。該木馬能夠在掃描爆破攻擊MsSql服務器的基礎上，下載植入挖礦病毒，利用服務器資源挖取門羅幣。更為嚴重的是，該木馬還會在被攻陷服務器內植入安裝多個遠程控制木馬，對服務器進行全盤的遠程控制，甚至會使企業關鍵服務器成為不法黑客深入攻擊的跳板，對企業業務系統的運行和機密數據信息安全造成一定的威脅。

目前，騰訊安全御點終端安全管理系統已實現對該木馬的成功攔截，并提醒廣大企業用戶務必提高安全意識，做好網絡安全防范工作，確保企業數據和后臺服務的安全性。

（圖：騰訊御點終端安全管理系統）

據騰訊安全技術專家介紹，該挖礦木馬對MsSql服務器的攻擊手法簡單、粗暴。爆破成功后，MsSql服務器將迅速被木馬挖礦執行程序“綁架”進行挖掘門羅幣。礦機一經啟動，將大量占用系統資源，從而導致服務器因“負重過大”性能急劇下降，繼而影響業務系統運行，嚴重影響企業正常生產經營。

監測數據顯示，該木馬目前已獲得15枚門羅幣，約合人民幣5200元。由此可見，該木馬的挖礦能力不容小覷，若不加以阻攔，由其帶來的損失將會進一步擴大。

（圖：挖礦木馬執行程序植入）

除具備“優秀”的挖礦能力外，該木馬還展現出極佳的“擴散力”。在成功感染MsSql服務器后，該木馬還會向攻陷服務器發送多個遠控木馬，隨后偽裝成“網絡寬帶”、“MYSQL”、“儲存設備”等系統服務進行駐留，并執行響應遠控指令、檢測并上傳殺軟信息和系統信息、監控鍵盤和剪切板輸入以及下載執行其他木馬等操作。至此，企業數據庫服務器將完全被非法黑客掌控，后果不堪設想。

鑒于此例新型挖礦木馬表現出的破壞性和高感染力，騰訊安全反病毒實驗室負責人馬勁松提醒企業用戶應對新型挖礦木馬對MsSql服務器的爆破攻擊提高警惕，建議用戶及時修補服務器安全漏洞，并修改SQL Sever服務1433等端口的默認訪問規則，加固SQL Server服務器的訪問控制；采用高強度密碼，切勿使用“sa賬號密碼”等弱口令；同時推薦在MsSql服務器上部署安裝騰訊御點終端安全管理系統，及時防范此類挖礦木馬的入侵，確保企業數據庫信息的安全和業務運作的性能。