Neues Botnetz Vollgar greift MS-SQL-Server an
Quelle: Guardicore Labs

Neues Botnetz Vollgar greift MS-SQL-Server an

Guardicore Labs hat ein neues Botnetz entdeckt, das Windows-Computer durch Brute-Force-Angriffe auf den MS-SQL-Dienst gefährdet. Seit Mai 2018 ist das weltweite Botnet bereits aktiv, das Guardicore Labs als Vollgar bezeichnet.
2. April 2020

     

Guardicore hat ein neues Botnetz entdeckt. Das Vollgar-getaufte Netz greift Windows-Computer durch Brute-Force-Angriffe auf den MS-SQL-Dienst an. Nach der Infektion nutzen die Angreifer sowohl RAT-Module (Remote Administration Tools, RAT) als auch Krypto-Miner.

Der komplizierte Angriffsmechanismus besteht aus mehrstufigen Skripten und verschiedenen Binärdateien, die nacheinander heruntergeladen und ausgeführt werden Seit Mai 2018 ist das weltweite Botnet bereits aktiv, das Guardicore Labs als Vollgar bezeichnet, weil es die Kryptowährung Vollar schürft und sich dabei "vulgärer, aggressiver Angriffsmethoden bedient", so das Unternehmen. Aktuell werden täglich 2000 bis 3000 Rechner aus dem Industriesektor, Gesundheits- und Bildungswesen sowie der IT-, Luftfahrt- und Telekommunikationsbranche neu infiziert — besonders betroffene Regionen sind die USA, China, Indien, Südkorea und Türkei.


Der Hauptangriff der Vollgar-Attacke lief über einen CNC-Server in China, auf dem eine MS-SQL-Datenbank und ein Tomcat-Webserver betrieben wurden. Gleich mehrere Hackergruppen hatten den Server kompromittiert und nutzten ihn für eigene Angriffskampagnen. Insgesamt fanden die Guardicore-Sicherheitsforscher fast zehn Hintertüren für den Zugriff auf den Server, die es erlaubten, Inhalte des Dateisystems auszulesen, Registrierungsdaten zu ändern, Dateien herunter- oder hochzuladen und Befehle auszuführen. Trotzdem befand sich der Server weiterhin im regulären Betrieb, um beispielsweise den Datenbankdienst sowie harmlose Hintergrundprozesse auszuführen. Die eigentlichen Betreiber des Servers erkannten nicht, dass verdächtige Aktivitäten von mehreren Nutzern mit erhöhten Zugriffsrechten durchgeführt wurden.
Guardicore Labs hat die Anzeichen für eine potentielle Kompromittierung (IOC=Indicator of Compromise) auf seiner Webseite aufgelistet. Hier stellen die Sicherheitsexperten auch ein Powershell-Erkennungsskript zur Verfügung, um Spuren einer Vollgar-Infektion auf betroffenen Computern aufzuspüren. In diesem Fall empfehlen sie, alle Zugangsdaten des MS-SQL-Benutzerkontos auf neue und komplexe Passwörter umzustellen. Weitere Richtlinien zur Minderung von Cyber-Bedrohungen mit Guardicore Centra finden sich in folgendem Blogbeitrag: https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/. (swe)


Weitere Artikel zum Thema

Microsoft zerschlägt riesiges Botnetz

12. März 2020 - Necurs vor dem Ende: Mit koordinierten technischen und juristischen Aktionen wollen Microsoft und Partner einem der grössten Botnetze den Garaus machen.

Update für SQL Server 2019 verursacht Probleme mit Server Agent

6. März 2020 - Microsoft gibt bekannt, dass das Cumulative Update 2 (CU2) für SQL Server 2019 einen Fehler enthält, der Probleme im Zusammenhang mit dem Server Agent hervorruft. Das Cumulative Update 3 soll Abhilfe schaffen.

Backdoor gefährdet MSSQL 11 und 12

22. Oktober 2019 - Mit einem neuen Angriff können Inhalte von Datenbanken auf MSSQL 11 und 12 manipuliert werden. Hinter dem neuen Backdoor steht eine bekannte Gruppe Cyberkrimineller.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wie hiess im Märchen die Schwester von Hänsel?
GOLD SPONSOREN
SPONSOREN & PARTNER