bbin宝盈集团

English

安全产品与方案
行业解决方案
安全服务与运营
安全研究
合作伙伴
技术支持

基础设施安全
数据安全
云计算安全
工业互联网安全
物联网安全
信息技术应用创新
全部产品
全部解决方案

基础设施安全

网络安全

安全管理

应用安全

终端安全

身份与访问管理

解决方案

CH

安全产品与方案

基础设施安全网络安全安全管理应用安全终端安全身份与访问管理解决方案数据安全数据安全产品解决方案云计算安全云计算安全产品解决方案工业互联网安全工业互联网安全产品解决方案物联网安全物联网安全产品解决方案信息技术应用创新信创类安全产品
行业解决方案

政府运营商金融能源交通企业科教文卫
安全服务与运营

专业安全服务应急响应红蓝对抗重保支持咨询服务安全开发安全测试培训与教育可管理安全服务 More 可管理检测与响应服务 bbin宝盈集团主机卫士系统 HGS bbin宝盈集团数据安全交换系统 DES bbin宝盈集团视频安全交换系统 VES bbin宝盈集团安全隔离与信息单向导入系统 SUCS bbin宝盈集团工控安全审计系统 SAS-ICS bbin宝盈集团工业安全隔离装置 ISID bbin宝盈集团工控安全入侵检测系统 IDS-ICS bbin宝盈集团工控漏洞扫描系统 ICSScan bbin宝盈集团工业网络安全监测管理平台 NSFOCUS INSP bbin宝盈集团工业防火墙 ISG bbin宝盈集团工业网络安全合规评估工具 ISCAT 工业互联网安全解决方案智慧城市安全运营智慧城市安全运营 bbin宝盈集团云 bbin宝盈集团云
安全研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2023年度报告安全公告威胁通告
合作伙伴

合作伙伴合作伙伴动态成为合作伙伴申请成为合作伙伴
技术支持

服务支持服务热线维保服务产品支持产品安全常见问题产品生命周期公告软件升级行业资讯产品安全软件升级

返回列表

「威胁通告」Vollgar僵尸网络

2020-04-01

一、威胁概述

4月1日，Guardicore Labs团队发布了一份长期攻击活动的分析报告，此攻击活动主要针对运行MS-SQL服务的Windows系统。分析报告称，此攻击活动至少从2018年5月开始，攻击者会针对目标的MS-SQL进行暴力猜解，成功登录目标系统后，再在系统中部署后门并运行远控工具等恶意程序。这一系列的攻击活动被命名为“Vollgar”。

通过暴力破解账户登陆系统再植入恶意程序是一种十分普遍的攻击手法，但报告中称，每天仍有2-3千个数据库在Vollgar攻击活动中被攻陷，其中包括中国、印度、韩国、土耳其和美国等国家，受影响的行业涵盖医疗、航空、IT、电信、教育等多个领域。

参考链接：

http://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/

二、影响范围

存在MS-SQL弱口令的Windows系统

三、风险排查

3.1 detect_vollgar.ps1脚本自查

Guardicore Labs提供了PowerShell自查脚本Script – detect_vollgar.ps1，自查脚本detect_vollgar.ps1可实现本地攻击痕迹检测，检测内容如下：

文件系统中的恶意payload；
恶意服务进程任务名；
后门用户名。

脚本下载链接：

http://github.com/guardicore/labs_campaigns/tree/master/Vollgar

检测步骤：

1、下载自查脚本detect_vollgar.ps1至本地，脚本内容详见地址http://github.com/guardicore/labs_campaigns/blob/master/Vollgar/detect_vollgar.ps1

2、“Windows”+“R”，在弹出的运行界面搜索PowerShell。

3、运行脚本。如果回显中包含“Evidence for Vollgar campaign has been found on this host.”字样，则说明当前系统可能已被感染。

若存在感染情况，请参考下列方法进行处理：

移除探测自查结果中的攻击痕迹。
终止恶意程序

注：若出现直接运行PowerShell时提示“无法加载文件ps1，因为在此系统中禁止执行脚本。有关详细信息，请参阅 “get-help about_signing”。此提示是由于没有权限执行该脚本。可运行如下命令查看当前执行策略：

	1

	get-executionpolicy

如果显示“Restricted”则为不允许执行任何脚本。

通过运行以下命令可修改其策略：

	1

	set-executionpolicy remotesigned

修改成功后即可使用PowerShell执行脚本

如需撤销对其策略的修改，可通过运行以下命令进行恢复。

	1

	set-executionpolicy Restricted

3.2 常规防护建议

关闭数据库账号登录方式以windows身份验证方式登录数据库并在windows策略里设置密码强度。
加强网络边界入侵防范和管理，在网络出入口设置防火墙等网络安全设备，对不必要的通讯予以阻断。
对暴露在互联网上的网络设备、服务器、操作系统和应用系统进行安全排查，包括但不限漏洞扫描、木马监测、配置核查、WEB漏洞检测、官网渗透测试等。
加强安全管理，建立网络安全应急处置机制，启用网络和运行日志审计，安排网络值守，做好监测措施，及时发现攻击风险，及时处理。

<<上一篇

「漏洞通告」Linux Kernel 信息泄漏&权限提升漏洞（CVE-2020-8835）

>>下一篇

「威胁通告」新型勒索软件WannaRen

✕

您的联系方式

购买热线

提交项目需求

欢迎加入bbin宝盈集团科技，成为我们的合作伙伴！

*请描述您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方式

*姓名
*联系电话
*邮箱
*职务
*公司
*城市
*行业
*验证码
提交到邮箱

服务支持

智能客服

智能客服

购买/售后技术问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

支持热线

支持热线

400-818-6868

bbin宝盈集团科技社区

bbin宝盈集团科技社区

资料下载|在线问答|技术交流

信息安全

官网地图| 法律声明| 投资者关系

关于我们: 公司介绍; 公司荣誉; bbin宝盈集团书橱; bbin宝盈集团新闻; 工作机会

如何购买: 提交项目需求; 在线咨询; 请求回电; 购买热线

bbin宝盈集团: 公司总部; 分支机构; 全球分支机构

快速链接: bbin宝盈集团云; bbin宝盈集团威胁情报中心NTI; 技术博客; 成功案例; TechWorld技术嘉年华

微博

微信

B站

抖音

视频号

视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS bbin宝盈集团科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证48052245号