Eine neue Malware hat Tausende von Microsoft SQL Server (MSSQL) Datenbanken sind bisher infiziert worden, so der Cybersicherheitsarm des chinesischen Technologieriesen Tencent.
In einem Anfang dieses Monats veröffentlichten Bericht (in chinesischer Sprache, kann mit Google Translate halbwegs verständlich ins Deutsche übersetzt werden) hat Tencent Security diese neue Malware-Gang MrbMiner genannt, nach einer der Domänen, die die Gruppe als Host für ihre Malware verwendet.
Das chinesische Unternehmen gibt an, dass sich das Botnetz ausschließlich dadurch verbreitet hat, dass es das Internet nach MSSQL-Servern durchsucht und dann Brute-Force-Angriffe durchführt, indem es das Administratorkonto wiederholt mit verschiedenen schwachen Passwörtern attackiert.
Sobald die Angreifer auf einem System Fuß gefasst hatten, luden sie eine anfängliche assm.exe-Datei herunter, die sie benutzten, um einen (Re-)Boot-Persistenzmechanismus einzurichten und ein Backdoor-Konto für den zukünftigen Zugriff hinzuzufügen. Tencent sagt, dass dieses Konto den Benutzernamen „Default“ und das Passwort „@fg125kjnhn987“ verwendet.
Der letzte Schritt des Infektionsprozesses bestand darin, eine Verbindung zum Kommando- und Kontrollserver herzustellen und eine Anwendung herunterzuladen, die die Kryptowährung Monero (XMR) durch Missbrauch lokaler Serverressourcen und Generierung von XMR-Münzen in Konten, die von den Angreifern kontrolliert werden, vermint.
Tencent Security sagt, dass sie zwar nur Infektionen auf MSSQL-Servern sahen, der MrbMiner C&C-Server jedoch auch Versionen der Malware der Gruppe enthielt, die für Linux-Server und ARM-basierte Systeme geschrieben wurden.
Nach der Analyse der Linux-Version der Malware MrbMiner sagten die Experten von Tencent, sie hätten eine Monero-Brieftasche identifiziert, in der die Malware Gelder generierte.
Die Adresse enthielt 3,38 XMR (ungefähr 300 Euro), was darauf hindeutet, dass die Linux-Versionen ebenfalls aktiv verbreitet wurden, obwohl Einzelheiten über diese Angriffe vorerst unbekannt sind.
Die Monero-Brieftasche, die für die auf MSSQL-Servern eingesetzte MbrMiner-Version verwendet wurde, enthielt 7 XMR (ungefähr 600 Euro). Obwohl die beiden Summen klein sind, ist bekannt, dass Krypto-Bergbaubanden mehrere Brieftaschen für ihre Operationen verwenden, und die Gruppe hat höchstwahrscheinlich viel größere Gewinne erzielt.
Vorerst müssen Systemadministratoren ihre MSSQL-Server auf das Vorhandensein des Hintertürkontos Default/@fg125kjnhn987 scannen. Falls sie Systeme finden, auf denen dieses Konto konfiguriert ist, werden vollständige Netzwerk-Audits empfohlen.
Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität
Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.
Neueste Kommentare
Noch keine Kommentare zu Malware greift Microsoft Datenbanken an
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.