相信很多普通網友都有這樣的壞習慣:多平臺用同一個類型密碼、僅使用數字/字母單一字符、順著鍵盤某些位置設置密碼、用個人姓名/生日進行組合……盡管這樣的弱口令(密碼)設置方式能夠便于用戶快速聯想,但也給不法分子作惡留下了可乘之機,如果掌控企業重要服務器的網管也有這樣的壞習慣,對于企業而言簡直就是一場網絡災難了。作案團伙往往會利用弱口令,通過密碼字典進行猜解爆破登陸,給個人隱私保護、企業安全生產、經濟社會發展乃至國家安全都帶來嚴峻的安全挑戰。

近期,騰訊安全御見威脅情報中心監測發現多起利用SQL Server弱密碼進行暴力入侵的病毒攻擊事件,被入侵的服務器被安裝暗云感染器以及多種木馬,同時中招系統成為Mykings、Mirai僵尸網絡的一部分。不僅如此,中毒后的用戶電腦的殺毒軟件會被強制退出,導致電腦失去所有防護,直接威脅電腦數據的安全,甚至有可能造成用戶財產損失。騰訊御點終端安全管理系統可防范此類病毒組合入侵,企業用戶可在服務器部署使用以避免感染。

(圖:該木馬執行流程)

經溯源分析,作案團伙首先會利用MS SQL SERVER弱密碼入侵用戶電腦,成功后即會執行遠程腳本命令,然后下載包括暗云感染器、Mykings僵尸網絡木馬、Mirai僵尸網絡木馬等多個木馬文件。值得注意的是,暗云木馬和Mirai等多個僵尸網絡木馬進行捆綁傳播,給殺毒軟件增加了一定的查殺難度。

據騰訊安全技術專家介紹,暗云作為迄今為止最為復雜的木馬之一,善于使用多種復雜技術潛伏于電腦磁盤引導區中,并通過云端攻擊危害用戶,感染后即使重裝格式化硬盤也無法清除;最為狡猾的Mykings僵尸網絡使用加密混淆腳本,以逃避安全軟件的檢測,同時利用肉雞電腦開啟代理服務,作為攻擊其他系統的跳板;相較而言,Mirai僵尸網絡木馬具備高超的密碼破解能力,攻擊者通過漏洞猜測設備的默認用戶名和口令,進而控制了智能設備系統。可見暗云等木馬合體的破壞能力,對企業信息安全產生了巨大的威脅。

受該僵尸網絡影響,目前受害電腦在全國范圍內均有分布,其中江蘇、山東、廣州位居前三。從病毒感染數據來看,該僵尸網絡呈小規模爆發趨勢。

(圖:該木馬影響區域)

可以看出,此次作案團伙直接利用暗云、Mykings、Mirai三個病毒家族進行捆綁傳播,復雜的加密和混淆技術大幅增強了免于被查殺的能力。對此,騰訊安全反病毒實驗室負責人、騰訊電腦管家安全專家馬勁松建議廣大用戶盡快加固SQL Server服務器,及時修補服務器安全漏洞;同時使用安全的密碼策略,使用高強度密碼,切勿使用sa賬號密碼等弱口令,防止不法黑客暴力破解。

(圖:騰訊電腦管家“管家急救箱”功能)

對于企業用戶,馬勁松建議在服務器部署騰訊御點終端安全管理系統,以防范此類病毒入侵。騰訊御點通過終端殺毒和修復漏洞統一管控,以及策略管控等全方位的安全管理功能,幫助企業用戶全面了解、管理企業內網安全狀況,保護企業安全。此外,對于已經中毒的個人用戶,他推薦使用騰訊電腦管家“管家急救箱”功能,能夠深入系統底層,對病毒樣本高危行為實現精準攔截及查殺,實現頑固木馬徹底清除。