騰訊安全：新型木馬“暴擊”MsSql服務器 企業(yè)機密或被盡數(shù)“綁架”

作為用于存取數(shù)據(jù)以及查詢、更新和管理關系數(shù)據(jù)庫系統(tǒng)的服務器，SQL(Structured Query Language)成為服務器用戶、非專業(yè)開發(fā)人員、網(wǎng)站主機和創(chuàng)建客戶端應用程序等編程愛好者的理想選擇方案。由于表現(xiàn)出攻擊簡單、靈活且危害極大的高性價比，SQL服務就此成為不法分子發(fā)動攻擊的“重災區(qū)”。公開數(shù)據(jù)顯示，在挖礦木馬針對Windows服務器的攻擊中，MsSql是其“最愛”的攻擊目標。

近期，騰訊安全御見威脅情報中心監(jiān)測到一例通過爆破攻擊MsSql服務器進行挖礦的新型木馬。該木馬能夠在掃描爆破攻擊MsSql服務器的基礎上，下載植入挖礦病毒，利用服務器資源挖取門羅幣。更為嚴重的是，該木馬還會在被攻陷服務器內(nèi)植入安裝多個遠程控制木馬，對服務器進行全盤的遠程控制，甚至會使企業(yè)關鍵服務器成為不法黑客深入攻擊的跳板，對企業(yè)業(yè)務系統(tǒng)的運行和機密數(shù)據(jù)信息安全造成一定的威脅。

目前，騰訊安全御點終端安全管理系統(tǒng)已實現(xiàn)對該木馬的成功攔截，并提醒廣大企業(yè)用戶務必提高安全意識，做好網(wǎng)絡安全防范工作，確保企業(yè)數(shù)據(jù)和后臺服務的安全性。

（圖：騰訊御點終端安全管理系統(tǒng)）

據(jù)騰訊安全技術專家介紹，該挖礦木馬對MsSql服務器的攻擊手法簡單、粗暴。爆破成功后，MsSql服務器將迅速被木馬挖礦執(zhí)行程序“綁架”進行挖掘門羅幣。礦機一經(jīng)啟動，將大量占用系統(tǒng)資源，從而導致服務器因“負重過大”性能急劇下降，繼而影響業(yè)務系統(tǒng)運行，嚴重影響企業(yè)正常生產(chǎn)經(jīng)營。

監(jiān)測數(shù)據(jù)顯示，該木馬目前已獲得15枚門羅幣，約合人民幣5200元。由此可見，該木馬的挖礦能力不容小覷，若不加以阻攔，由其帶來的損失將會進一步擴大。

（圖：挖礦木馬執(zhí)行程序植入）

除具備“優(yōu)秀”的挖礦能力外，該木馬還展現(xiàn)出極佳的“擴散力”。在成功感染MsSql服務器后，該木馬還會向攻陷服務器發(fā)送多個遠控木馬，隨后偽裝成“網(wǎng)絡寬帶”、“MYSQL”、“儲存設備”等系統(tǒng)服務進行駐留，并執(zhí)行響應遠控指令、檢測并上傳殺軟信息和系統(tǒng)信息、監(jiān)控鍵盤和剪切板輸入以及下載執(zhí)行其他木馬等操作。至此，企業(yè)數(shù)據(jù)庫服務器將完全被非法黑客掌控，后果不堪設想。

鑒于此例新型挖礦木馬表現(xiàn)出的破壞性和高感染力，騰訊安全反病毒實驗室負責人馬勁松提醒企業(yè)用戶應對新型挖礦木馬對MsSql服務器的爆破攻擊提高警惕，建議用戶及時修補服務器安全漏洞，并修改SQL Sever服務1433等端口的默認訪問規(guī)則，加固SQL Server服務器的訪問控制；采用高強度密碼，切勿使用“sa賬號密碼”等弱口令；同時推薦在MsSql服務器上部署安裝騰訊御點終端安全管理系統(tǒng)，及時防范此類挖礦木馬的入侵，確保企業(yè)數(shù)據(jù)庫信息的安全和業(yè)務運作的性能。