{"id":230327,"date":"2020-04-02T15:12:54","date_gmt":"2020-04-02T13:12:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=230327"},"modified":"2022-07-29T14:20:03","modified_gmt":"2022-07-29T12:20:03","slug":"hacker-infizieren-tausende-ms-sql-server-mit-backdoor","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/02\/hacker-infizieren-tausende-ms-sql-server-mit-backdoor\/","title":{"rendered":"Hacker infizieren Tausende MS SQL-Server mit Backdoor"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>[<a href=\"https:\/\/borncity.com\/win\/2020\/04\/02\/hackers-infects-thousands-of-ms-sql-servers-with-backdoors\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Unbekannte Hacker fahren eine (seit Mai 2018 laufende) Kampagne gegen Microsoft SQL-Server. Es gelingt der Gruppe t\u00e4glich Tausende dieser SQL-Server mit einer Backdoor zu versehen. Es scheint ein ganzes Bot-Netz infizierter SQL-Server zu bestehen, auf denen Remote Access Trojaner und Crypto-Miner laufen. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg05.met.vgwort.de\/na\/7c8ee1ae517849dfb43d68125718997e\" width=\"1\" height=\"1\"\/>Ich bin \u00fcber den nachfolgenden Tweet von Bleeping Computer, <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hacker-group-backdoors-thousands-of-microsoft-sql-servers-daily\/\" target=\"_blank\" rel=\"noopener noreferrer\">deren Artikel<\/a> sowie <a href=\"https:\/\/thehackernews.com\/2020\/04\/backdoor-.html\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Beitrag<\/a> von The Hacker News auf das Thema aufmerksam geworden.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"en\" dir=\"ltr\">Hacker Group Backdoors Thousands of Microsoft SQL Servers Daily &#8211; by <a href=\"https:\/\/twitter.com\/serghei?ref_src=twsrc%5Etfw\">@serghei<\/a><a href=\"https:\/\/t.co\/wPXfFteqj7\">https:\/\/t.co\/wPXfFteqj7<\/a><\/p>\n<p>\u2014 BleepingComputer (@BleepinComputer) <a href=\"https:\/\/twitter.com\/BleepinComputer\/status\/1245400236475940873?ref_src=twsrc%5Etfw\">April 1, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script>  <\/p>\n<p>Die Hacker verwenden&nbsp; Brute-Force Methoden, um Microsoft SQL (MSSQL)-Servern zu kompromittieren und installieren dann Crypto-Miner Remote Access Trojaner (RATs). Aufgefallen ist die seit Mai 2018 laufende Kampagne Sicherheitsforschern von <a href=\"https:\/\/web.archive.org\/web\/20210201183655\/https:\/\/www.guardicore.com\/2020\/04\/vollgar-ms-sql-servers-under-attack\/\" target=\"_blank\" rel=\"noopener noreferrer\">Guardicore<\/a> im Dezember 2019. <\/p>\n<h2>Aktuell 2.000 bis 3.000 Infektionen t\u00e4glich<\/h2>\n<p>Aktuell werden im Rahmen der laufenden Angriffe immer noch&nbsp; t\u00e4glich zwischen 2.000 und 3.000 MSSQL-Server infiziert und mit einer Backdoor versehen. \"MS-SQL-Server mit schwachen Berechtigungen im Internet zu haben, ist nicht die beste Vorgehensweise\", sagt Sicherheitsforscher Ophir Harpaz von Guardicore in einem <a href=\"https:\/\/web.archive.org\/web\/20210201183655\/https:\/\/www.guardicore.com\/2020\/04\/vollgar-ms-sql-servers-under-attack\/\" target=\"_blank\" rel=\"noopener noreferrer\">Bericht<\/a>. \"Dies k\u00f6nnte erkl\u00e4ren, wie es dieser Kampagne gelungen ist, t\u00e4glich etwa 3k-Datenbankrechner zu infizieren.\"<\/p>\n<h2>Angriffe aus China?<\/h2>\n<p>Die Angriffe der Vollgar-Kampagne erfolgen von etwa 120 IP-Adressen, die zumeist aus China stammen. Es handelt sich dabei h\u00f6chstwahrscheinlich um zuvor kompromittierte MS SQL-Server, die als Teil eines Botnetzes verwendet werden, um nach neuen potenziellen Zielen zu suchen und diese zu infizieren.<\/p>\n<p>W\u00e4hrend einige dieser Bots nur f\u00fcr eine sehr kurze Zeit aktiv bleiben, beobachten die Sicherheitsforscher bei anderen Bots seit mehr als drei Monaten dutzende von Angriffsversuchen auf das Global Sensors Network (GGSN) von Guardicore.<\/p>\n<p>Die Guardicore-Sicherheitsforscher haben <a href=\"https:\/\/github.com\/guardicore\/labs_campaigns\/tree\/master\/Vollgar\" target=\"_blank\" rel=\"noopener noreferrer\">ein Skript ver\u00f6ffentlicht<\/a>, mit dem Administratoren feststellen k\u00f6nnen, ob einer ihrer Windows MS-SQL-Server von dieser speziellen Bedrohung betroffen ist. Weitere Details lassen sich bei <a href=\"https:\/\/web.archive.org\/web\/20210201183655\/https:\/\/www.guardicore.com\/2020\/04\/vollgar-ms-sql-servers-under-attack\/\" target=\"_blank\" rel=\"noopener noreferrer\">Guardicore<\/a> sowie in den verlinkten Artikeln nachlesen.&nbsp; <\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Unbekannte Hacker fahren eine (seit Mai 2018 laufende) Kampagne gegen Microsoft SQL-Server. Es gelingt der Gruppe t\u00e4glich Tausende dieser SQL-Server mit einer Backdoor zu versehen. Es scheint ein ganzes Bot-Netz infizierter SQL-Server zu bestehen, auf denen Remote Access Trojaner und &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/04\/02\/hacker-infizieren-tausende-ms-sql-server-mit-backdoor\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301],"tags":[3347,4101,5168,4328],"class_list":["post-230327","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","tag-backdoor","tag-hacker","tag-microsoft-sql-server","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230327","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=230327"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/230327\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=230327"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=230327"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=230327"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}