腾讯安全:数百家企业SQL服务器遭非法攻击 或致企业数据泄露


?

4月4日中午左右,小刘照常检查公司网络系统及相关配置工作。在查看主控系统时,腾讯卫报高级威胁检测系统专门用于检测未知黑客,目前发出报警并显示,公司网络系统可能受到非法黑客的攻击。在紧急情况下,小刘将首次帮助腾讯安全应急中心。

0×251C

(图:腾讯卫报高级威胁检测系统窃听警报)

腾讯安全技术专家在获得企业同意后对机器设备进行远程取证,并结合第四纪的关键日志信息,是针对企业本地数据库(SQL Server)服务器的典型弱口令爆破攻击事件。由于受害者SQL Server使用了弱密码,邪恶帮派在4号11点37分成功地与目标进行了1000次连接尝试后成功地进行了爆炸,并成功地进入了企业服务器。幸运的是,腾讯安全技术专家也及时协助公司进行了首次隔离和防病毒工作。这次袭击并没有直接给公司造成任何损失。

0×251d

(图:意外的黑客远程爆破SQL Server服务器多达数千次)

此前,腾讯安全(TencentSecurity)曾多次警告说,使用弱密码对企业SQL服务器进行此类爆炸攻击。弱密码没有严格的定义。任何容易被他人猜到或被破解工具破解的密码都是弱密码,如“123”或“abc”。所谓的“爆破”是指黑客试图取一本包含许多弱密码的“字典”。如果目标服务器的密码恰好在这个“字典”中,那么“爆破”就可以成功。也可以进入服务器来做任何它想做的事情。

为了应对这种攻击,腾讯安全技术专家为HFS服务器上的邪恶团伙发现了大量“工具”,包括一系列黑色生产工具,如Windows权限工具和Linux挖掘程序,并存储在另一台HFS服务器上。爆破SQL服务器的攻击日志,堆积碎片和内疚。可以看出,这是一种有组织的,有预谋的,精心策划的攻击。

事实上,这一事件只是这一系列黑客的冰山一角。腾讯安全宇智威胁情报中心对整个事件进行了可追溯性调查,发现邪恶团伙成功入侵了3700多台SQL服务器,涉及数百家中小企业,并获得了这些企业服务器的管理员权限。下载正在运行的Monroe采矿木马。同时,入侵者还将打开服务器的端口3389并添加管理员帐户,这相当于随时留下用于进入和离开企业服务器的“密钥”。可以说,这种行为很容易导致更严重的信息泄露事件,往往给企业带来不可估量的损失。

img_pic_1555299219_2.jpg

(图:一些受害公司的IP)

通过分析被破坏的弱密码,腾讯安全发现以下弱密码已被黑客掌握。使用这些密码的企业需要保持警惕。建议尽快修改它们,否则黑客会猛烈破解它们。它可能会导致关键业务信息的泄露。

img_pic_1555299220_3.jpg

(图:SQL Server常见的弱密码详细信息)

目前,越来越多的全球企业都涉及数据泄露,一旦公司数据泄露,不仅损害了用户的个人隐私,而且还为此付出了代价,面临着一系列轻信和口口相传的危机。对于企业来说,如何防止企业信息泄露,避免非法黑客攻击非常重要。

为此,腾讯安全防病毒实验室负责人马劲松提醒大多数企业用户,建议强化SQL Server服务器,修补服务器安全漏洞并使用安全密码策略;修改SQL Sever服务的默认端口,并根据原始配置更改默认的1433端口设置。并设置访问规则,拒绝1433端口检测;同时检查服务器是否已打开远程桌面服务,并检查高频检查是否有异常帐号添加和登录事件,这可以有效防止非法黑客入侵。

就当前不道德的黑客技术而言,改进技术手段和使用可靠的网络安全产品是阻止非法入侵的有效方法。本文开头的企业受到腾讯皇家威胁先进检测系统和腾讯的及时警告。安全技术人员的积极响应和及时阻止成功地防止了爆炸袭击。对此,腾讯安全技术专家建议该公司在全网安装腾讯皇家终端安全管理系统,腾讯皇家高级威胁检测系统,腾讯宇健安全态势感知平台和腾讯宇智网络空间风险雷达。在边境安全,网站监控和统一监控中建立了集风险监控,分析,预警,响应和可视化于一体的安全系统,可以在各个方面和三个维度保证企业用户的信息安全。

img_pic_1555299220_4.jpg

(图片:腾讯皇家威胁检测系统)