Hacker infizieren Tausende MS SQL-Server mit Backdoor

Publiziert am 2. April 2020 von Günter Born

[English]Unbekannte Hacker fahren eine (seit Mai 2018 laufende) Kampagne gegen Microsoft SQL-Server. Es gelingt der Gruppe täglich Tausende dieser SQL-Server mit einer Backdoor zu versehen. Es scheint ein ganzes Bot-Netz infizierter SQL-Server zu bestehen, auf denen Remote Access Trojaner und Crypto-Miner laufen.

Anzeige

Ich bin über den nachfolgenden Tweet von Bleeping Computer, deren Artikel sowie diesem Beitrag von The Hacker News auf das Thema aufmerksam geworden.

Die Hacker verwenden  Brute-Force Methoden, um Microsoft SQL (MSSQL)-Servern zu kompromittieren und installieren dann Crypto-Miner Remote Access Trojaner (RATs). Aufgefallen ist die seit Mai 2018 laufende Kampagne Sicherheitsforschern von Guardicore im Dezember 2019.

Aktuell 2.000 bis 3.000 Infektionen täglich

Aktuell werden im Rahmen der laufenden Angriffe immer noch  täglich zwischen 2.000 und 3.000 MSSQL-Server infiziert und mit einer Backdoor versehen. "MS-SQL-Server mit schwachen Berechtigungen im Internet zu haben, ist nicht die beste Vorgehensweise", sagt Sicherheitsforscher Ophir Harpaz von Guardicore in einem Bericht. "Dies könnte erklären, wie es dieser Kampagne gelungen ist, täglich etwa 3k-Datenbankrechner zu infizieren."

Anzeige

Angriffe aus China?

Die Angriffe der Vollgar-Kampagne erfolgen von etwa 120 IP-Adressen, die zumeist aus China stammen. Es handelt sich dabei höchstwahrscheinlich um zuvor kompromittierte MS SQL-Server, die als Teil eines Botnetzes verwendet werden, um nach neuen potenziellen Zielen zu suchen und diese zu infizieren.

Während einige dieser Bots nur für eine sehr kurze Zeit aktiv bleiben, beobachten die Sicherheitsforscher bei anderen Bots seit mehr als drei Monaten dutzende von Angriffsversuchen auf das Global Sensors Network (GGSN) von Guardicore.

Die Guardicore-Sicherheitsforscher haben ein Skript veröffentlicht, mit dem Administratoren feststellen können, ob einer ihrer Windows MS-SQL-Server von dieser speziellen Bedrohung betroffen ist. Weitere Details lassen sich bei Guardicore sowie in den verlinkten Artikeln nachlesen. 

Anzeige
Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.