从暴力破解到部署挖矿脚本，揭秘一场已持续2年的黑客攻击活动

近日，Guardicore实验室团队揭露了一场持续已久的黑客攻击行动，这场始于2018年5月的恶意攻势名为“Vollgar”，其攻击路径曲折复杂，最终在SQL服务器上安插后门并激活多重恶意模块，涵盖多功能远程访问工具（RAT）及门罗币、Vollar加密货币挖矿脚本等。

攻击链详解

1. 暴力破解启程：攻击者首先通过蛮力破解手段对MS-SQL发动猛攻。

2. 配置篡改与权限提升：一旦得手，他们会调整数据库配置，为后续操作铺路，并狡猾地在数据库和操作系统环境中创建多个后门账户，竭力获取最高权限。

3. 后门多元且隐秘：研究团队总共揪出了十多种不同后门程序，赋予了攻击者全方位的能力，从操控服务器、读取文件系统到修改注册表、上传下载文件乃至执行任意命令，无所不能。

恶意载荷部署

1. 下载器三部曲：恶意有效载荷以“SQLAGENTIDC.exe”或“SQLAGENTVDC.exe”为名，通过三个独特的下载器——两个HTTP方式传输的VBScript和一个FTP脚本悄然潜入。

2. 清场与自复制：初始有效载荷先清理战场，干掉可能存在的其他挖矿软件，确保独占计算资源。随后将自身复制到AppData文件夹下再度运行，并验证网络连接状况。

3. 地理定位与信息回传：它还会借助百度地图查询受害者的IP地址和地理位置，并将这些情报发送给控制中心（CNC）。

4. RAT模块与挖矿剧本上阵：4.攻击者下载多个RAT模块和挖矿脚本至受害服务器中，这些脚本不仅挖掘门罗币，还瞄准了一种名为“VDS或Vollar”的加密货币。

其中，RAT模块犹如万能遥控器，让攻击者能够随心所欲地进行文件下载、服务安装、键盘记录、屏幕截取、开启shell终端、启动摄像头麦克风监听以及发起DDoS攻击等各种操作。

防范措施与警示

面对如此步步紧逼的黑客攻击，我们必须严阵以待。首要之策是避免将数据库服务器暴露于互联网，转而采用严格的白名单访问策略和日志记录功能。同时，切记及时强化MS-SQL用户账户密码，选用强密码来抵御暴力破解的侵袭。

总之，黑客无孔不入，唯有我们加强防护，方能让服务器免受“Vollgar”这类邪恶攻击的荼毒！