尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
相信很多普通網友都有這樣的壞習慣:多平台用同一個類型密碼、僅使用數字/字母單一字符、順著鍵盤某些位置設置密碼、用個人姓名/生日進行組合……盡管這樣的弱口令(密碼)設置方式能夠便於用戶快速聯想,但也給不法分子作惡留下了可乘之機,如果掌控企業重要服務器的網管也有這樣的壞習慣,對於企業而言簡直就是一場網路災難了。作案團夥往往會利用弱口令,通過密打字典進行猜解爆破登陸,給個人隱私保護、企業安全生產、經濟社會發展乃至國家安全都帶來嚴峻的安全挑戰。
近期,騰訊安全禦見威脅情報中心監測發現多起利用SQL Server弱密碼進行暴力入侵的病毒攻擊事件,被入侵的服務器被安裝暗雲感染器以及多種木馬,同時中招系統成為Mykings、Mirai僵屍網路的一部分。不僅如此,中毒後的用戶電腦的殺毒軟件會被強制退出,導致電腦失去所有防護,直接威脅電腦數據的安全,甚至有可能造成用戶財產損失。騰訊禦點終端安全管理系統可防范此類病毒組合入侵,企業用戶可在服務器部署使用以避免感染。
(圖:該木馬執行流程)
經溯源分析,作案團夥首先會利用MS SQL SERVER弱密碼入侵用戶電腦,成功後即會執行遠程腳本命令,然後下載包括暗雲感染器、Mykings僵屍網路木馬、Mirai僵屍網路木馬等多個木馬文件。值得注意的是,暗雲木馬和Mirai等多個僵屍網路木馬進行捆綁傳播,給殺毒軟件增加了一定的查殺難度。
據騰訊安全技術專家介紹,暗雲作為迄今為止最為複雜的木馬之一,善於使用多種複雜技術潛伏於電腦磁盤引導區中,並通過雲端攻擊危害用戶,感染後即使重裝格式化硬盤也無法清除;最為狡猾的Mykings僵屍網路使用加密混淆腳本,以逃避安全軟件的檢測,同時利用肉雞電腦開啟代理服務,作為攻擊其他系統的跳板;相較而言,Mirai僵屍網路木馬具備高超的密碼破解能力,攻擊者通過漏洞猜測設備的默認用戶名和口令,進而控制了智能設備系統。可見暗雲等木馬合體的破壞能力,對企業信息安全產生了巨大的威脅。
受該僵屍網路影響,目前受害電腦在全國範圍內均有分布,其中江蘇、山東、廣州位居前三。從病毒感染數據來看,該僵屍網路呈小規模爆發趨勢。
(圖:該木馬影響區域)
可以看出,此次作案團夥直接利用暗雲、Mykings、Mirai三個病毒家族進行捆綁傳播,複雜的加密和混淆技術大幅增強了免於被查殺的能力。對此,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松建議廣大用戶盡快加固SQL Server服務器,及時修補服務器安全漏洞;同時使用安全的密碼策略,使用高強度密碼,切勿使用sa帳號密碼等弱口令,防止不法黑客暴力破解。
(圖:騰訊電腦管家「管家急救箱」功能)
對於企業用戶,馬勁松建議在服務器部署騰訊禦點終端安全管理系統,以防范此類病毒入侵。騰訊禦點通過終端殺毒和修復漏洞統一管控,以及策略管控等全方位的安全管理功能,幫助企業用戶全面了解、管理企業內網安全狀況,保護企業安全。此外,對於已經中毒的個人用戶,他推薦使用騰訊電腦管家「管家急救箱」功能,能夠深入系統底層,對病毒樣本高危行為做到精準攔截及查殺,做到頑固木馬徹底清除。