一、威胁概述

4月1日，Guardicore Labs团队发布了一份长期攻击活动的分析报告，此攻击活动主要针对运行MS-SQL服务的Windows系统。分析报告称，此攻击活动至少从2018年5月开始，攻击者会针对目标的MS-SQL进行暴力猜解，成功登录目标系统后，再在系统中部署后门并运行远控工具等恶意程序。这一系列的攻击活动被命名为“Vollgar”。

通过暴力破解账户登陆系统再植入恶意程序是一种十分普遍的攻击手法，但报告中称，每天仍有2-3千个数据库在Vollgar攻击活动中被攻陷，其中包括中国、印度、韩国、土耳其和美国等国家，受影响的行业涵盖医疗、航空、IT、电信、教育等多个领域。

参考链接：

https://www.guardicore.com/2020/04/vollgar-ms-sql-servers-under-attack/

二、影响范围

存在MS-SQL弱口令的Windows系统

三、风险排查

3.1 detect_vollgar.ps1脚本自查

Guardicore Labs提供了PowerShell自查脚本Script – detect_vollgar.ps1，自查脚本detect_vollgar.ps1可实现本地攻击痕迹检测，检测内容如下：

1. 文件系统中的恶意payload；
2. 恶意服务进程任务名；
3. 后门用户名。

脚本下载链接：

https://github.com/guardicore/labs_campaigns/tree/master/Vollgar

检测步骤：

1、下载自查脚本detect_vollgar.ps1至本地，脚本内容详见地址https://github.com/guardicore/labs_campaigns/blob/master/Vollgar/detect_vollgar.ps1

2、“Windows”+“R”，在弹出的运行界面搜索PowerShell。

3、运行脚本。如果回显中包含“Evidence for Vollgar campaign has been found on this host.”字样，则说明当前系统可能已被感染。

若存在感染情况，请参考下列方法进行处理：

1. 移除探测自查结果中的攻击痕迹。
2. 终止恶意程序

注：若出现直接运行PowerShell时提示“无法加载文件ps1，因为在此系统中禁止执行脚本。有关详细信息，请参阅 “get-help about_signing”。此提示是由于没有权限执行该脚本。可运行如下命令查看当前执行策略：

如果显示“Restricted”则为不允许执行任何脚本。

通过运行以下命令可修改其策略：

修改成功后即可使用PowerShell执行脚本

如需撤销对其策略的修改，可通过运行以下命令进行恢复。

3.2 常规防护建议

1. 关闭数据库账号登录方式  以windows身份验证方式登录数据库  并在windows策略里设置密码强度。
2. 加强网络边界入侵防范和管理，在网络出入口设置防火墙等网络安全设备，对不必要的通讯予以阻断。
3. 对暴露在互联网上的网络设备、服务器、操作系统和应用系统进行安全排查，包括但不限漏洞扫描、木马监测、配置核查、WEB漏洞检测、网站渗透测试等。
4. 加强安全管理，建立网络安全应急处置机制，启用网络和运行日志审计，安排网络值守，做好监测措施，及时发现攻击风险，及时处理。