针对运行数据库服务以挖掘加密货币的服务器的黑客

The researchers from security firm GuardiCore Labs have analyzed thousands of attacks launched in recent months and identified at least three attack variants—海克斯、花子和泰勒—针对Windows和Linux的不同MS SQL和MySQL服务器。

这三种变体的目标都不同—；Hex在受感染的机器上安装加密货币矿工和远程访问特洛伊木马（RAT），Taylor安装键盘记录器和后门，Hanako使用受感染的设备构建DDoS僵尸网络。

到目前为止，研究人员每月记录了数百起Hex和Hanako攻击，以及数万起Taylor攻击，并发现大多数受损的机器都位于中国，一些位于泰国、美国、日本和其他国家。

为了获得对目标数据库服务器的未经授权的访问，攻击者使用蛮力攻击，然后运行一系列预定义的SQL命令以获得持久访问并逃避审核日志。

有什么有趣的？为了对数据库服务器发起攻击并提供恶意文件，攻击者使用一个由已经受损的系统组成的网络，使其攻击基础设施模块化，并防止其恶意活动被摧毁。
为了实现对受害者数据库的持久访问，所有三种变体（Hex、Hanko和Taylor）都会在数据库中创建后门用户，并打开远程桌面端口，允许攻击者远程下载并安装下一阶段攻击—；加密货币矿工、远程访问特洛伊木马（RAT）或DDoS机器人。

研究人员在周二发布的博客文章中写道：“在攻击的后期，攻击者通过运行shell命令来停止或禁用各种反病毒和监控应用程序。”。

“针对的反病毒产品包括Avira和Panda Security等知名产品，以及Quick Heal和BullGuard等利基软件。”

最后，为了掩盖其踪迹，攻击者使用预定义的批处理文件和Visual Basic脚本删除任何不必要的Windows注册表、文件和文件夹条目。

管理员应检查其数据库或系统中是否存在以下用户名，以确定其是否已被中国犯罪黑客入侵。

• 汉科
• 应用程序菜单
• 401hk$
• 客人
• 华中地国110

研究人员说：“虽然防御这种类型的攻击听起来很简单或微不足道—；‘修补你的服务器并使用强密码’—；但我们知道，‘在现实生活中’情况要复杂得多。将你暴露在针对数据库的活动中的最佳方式是控制能够访问数据库的机器。”细想过的。

“定期查看可访问数据库的计算机列表，将此列表保持在最低限度，并特别注意可直接从internet访问的计算机。应阻止和调查来自不属于此列表的IP或域的每次连接尝试。”