近日���,瑞星威脅情報(bào)系統(tǒng)捕獲到了一臺境外傳毒服務(wù)器,攻擊者通過弱口令掃描網(wǎng)絡(luò)中的機(jī)器并植入病毒����。經(jīng)過進(jìn)一步調(diào)查,瑞星專家發(fā)現(xiàn)這臺傳毒服務(wù)器中竟存儲了兩千多臺MSSQL服務(wù)器和六百多臺phpMyAdmin服務(wù)器的IP地址和弱口令賬號密碼�����。由此可見���,網(wǎng)絡(luò)中仍然有如此多的機(jī)器使用弱口令和默認(rèn)賬號密碼�,令人觸目驚心�。
圖:傳毒服務(wù)器
產(chǎn)生這一現(xiàn)象主要有三個(gè)原因,一方面是管理人員為了方便維護(hù)�,而使用弱口令賬號密碼;另一方面�����,大量網(wǎng)站是由外包公司開發(fā)��,部分外包公司安全建設(shè)不到位�,網(wǎng)站交付用戶后沒有修改測試時(shí)使用的默認(rèn)口令;此外�����,相關(guān)人員安全意識不足也是導(dǎo)致弱口令產(chǎn)生的主要原因����。
圖:phpMyAdmin弱口令攻擊成功的機(jī)器
圖:MSSQL弱口令攻擊成功的機(jī)器
此次利用弱口令攻擊的事件并非個(gè)例,近年來�����,由弱口令密碼引發(fā)的安全隱患日漸凸顯���,從而引發(fā)的信息泄露事件也是數(shù)不勝數(shù)�,例如:近期德國近千名公眾人物����,包括記者��、政治人物�、歌手的個(gè)人資料被公布�,經(jīng)警方追查,兇手是一名20歲的學(xué)生�����,且只是利用受害者的弱密碼就黑入他們的帳號竊取獲得了個(gè)人資料����。
弱口令一直是網(wǎng)絡(luò)安全的一大癥結(jié)����,因?yàn)槿蹩诹钍亲钊菀壮霈F(xiàn)的、也是最容易被利用的漏洞之一�����。 對于個(gè)人賬戶來說�����,使用弱口令會造成隱私泄露��、財(cái)產(chǎn)損失等隱患;對企業(yè)賬戶而言,攻擊者可以通過弱口令輕易進(jìn)入后臺�����,竊取企業(yè)內(nèi)部資料�����,造成大規(guī)模損失����。
對弱口令攻擊問題,瑞星專家建議:首先要提高安全意識�,在設(shè)立密碼時(shí)要提高密碼復(fù)雜程度、及時(shí)修改默認(rèn)密碼;另外���,企業(yè)需要建立完善的網(wǎng)絡(luò)安全監(jiān)控體系和應(yīng)急事件響應(yīng)措施����,對于網(wǎng)絡(luò)攻擊做到及時(shí)發(fā)現(xiàn)����、快速處理。
那么�����,怎樣才能設(shè)置一個(gè)不易破解的口令呢?
一、口令長度應(yīng)不小于8個(gè)字符�����,并由大小寫字母���、數(shù)字和特殊字符組成;
二����、口令不得為帳號一部分或包含賬號;
三�、口令不應(yīng)為連續(xù)的某個(gè)字符或重復(fù)某些字符的組合;
四、口令不應(yīng)包含root��、admin���、公司名稱、產(chǎn)品名稱����、姓名、手機(jī)號等常見的弱口令元素;
五�����、不使用常見的連續(xù)按鍵,如:1qaz@wsx���、qwert�、asdfghjkl;�、!@#、147258369(數(shù)字鍵盤)等��。
技術(shù)分析
攻擊者通過弱口令掃描網(wǎng)絡(luò)中的機(jī)器���,暴力破解密碼��,一旦密碼破解成功���,就會將病毒植入到被攻擊機(jī)器。
病毒運(yùn)行后添加開機(jī)自啟動項(xiàng)�。
圖:開機(jī)啟動項(xiàng)
釋放挖礦程序和運(yùn)行挖礦程序的批處理腳本。
圖:挖礦程序和啟動腳本
調(diào)用腳本運(yùn)行挖礦程序�����,傳入礦池地址和虛擬貨幣錢包地址。
圖:挖礦程序的啟動腳本
挖礦程序運(yùn)行后��,連接控制服務(wù)器挖礦消耗計(jì)算機(jī)資源����,使CPU占用率極高。此病毒沒有使用常用的xmrig挖礦��,而是使用了另一個(gè)開源的挖礦程序JC Expert Cryptonote CPU Miner修改而來���。
圖:挖礦消耗計(jì)算機(jī)資源
文章內(nèi)容僅供閱讀���,不構(gòu)成投資建議,請謹(jǐn)慎對待����。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)����。
京公網(wǎng)安備 11010502041587號