相信很多普通网友都有这样的坏习惯:多平台用同一个类型密码、仅使用数字/字母单一字符、顺着键盘某些位置设置密码、用个人姓名/生日进行组合……尽管这样的弱口令(密码)设置方式能够便于用户快速联想,但也给不法分子作恶留下了可乘之机,如果掌控企业重要服务器的网管也有这样的坏习惯,对于企业而言简直就是一场网络灾难了。作案团伙往往会利用弱口令,通过密码字典进行猜解爆破登陆,给个人隐私保护、企业安全生产、经济社会发展乃至国家安全都带来严峻的安全挑战。

近期,腾讯安全御见威胁情报中心监测发现多起利用SQL Server弱密码进行暴力入侵的病毒攻击事件,被入侵的服务器被安装暗云感染器以及多种木马,同时中招系统成为Mykings、Mirai僵尸网络的一部分。不仅如此,中毒后的用户电脑的杀毒软件会被强制退出,导致电脑失去所有防护,直接威胁电脑数据的安全,甚至有可能造成用户财产损失。腾讯御点终端安全管理系统可防范此类病毒组合入侵,企业用户可在服务器部署使用以避免感染。

(图:该木马执行流程)

经溯源分析,作案团伙首先会利用MS SQL SERVER弱密码入侵用户电脑,成功后即会执行远程脚本命令,然后下载包括暗云感染器、Mykings僵尸网络木马、Mirai僵尸网络木马等多个木马文件。值得注意的是,暗云木马和Mirai等多个僵尸网络木马进行捆绑传播,给杀毒软件增加了一定的查杀难度。

据腾讯安全技术专家介绍,暗云作为迄今为止最为复杂的木马之一,善于使用多种复杂技术潜伏于电脑磁盘引导区中,并通过云端攻击危害用户,感染后即使重装格式化硬盘也无法清除;最为狡猾的Mykings僵尸网络使用加密混淆脚本,以逃避安全软件的检测,同时利用肉鸡电脑开启代理服务,作为攻击其他系统的跳板;相较而言,Mirai僵尸网络木马具备高超的密码破解能力,攻击者通过漏洞猜测设备的默认用户名和口令,进而控制了智能设备系统。可见暗云等木马合体的破坏能力,对企业信息安全产生了巨大的威胁。

受该僵尸网络影响,目前受害电脑在全国范围内均有分布,其中江苏、山东、广州位居前三。从病毒感染数据来看,该僵尸网络呈小规模爆发趋势。

(图:该木马影响区域)

可以看出,此次作案团伙直接利用暗云、Mykings、Mirai三个病毒家族进行捆绑传播,复杂的加密和混淆技术大幅增强了免于被查杀的能力。对此,腾讯安全反病毒实验室负责人、腾讯电脑管家安全专家马劲松建议广大用户尽快加固SQL Server服务器,及时修补服务器安全漏洞;同时使用安全的密码策略,使用高强度密码,切勿使用sa账号密码等弱口令,防止不法黑客暴力破解。

(图:腾讯电脑管家“管家急救箱”功能)

对于企业用户,马劲松建议在服务器部署腾讯御点终端安全管理系统,以防范此类病毒入侵。腾讯御点通过终端杀毒和修复漏洞统一管控,以及策略管控等全方位的安全管理功能,帮助企业用户全面了解、管理企业内网安全状况,保护企业安全。此外,对于已经中毒的个人用户,他推荐使用腾讯电脑管家“管家急救箱”功能,能够深入系统底层,对病毒样本高危行为实现精准拦截及查杀,实现顽固木马彻底清除。