Vollgar-Kampagne: Malware infiziert 3000 Microsoft SQL Server pro Tag

Sicherheitsforscher berichten, dass Angreifer seit knapp zwei Jahren Microsoft SQL Server ins Visier nehmen und oft erfolgreich attackieren.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 112 Beiträge

(Bild: Gorodenkoff / Shutterstock.com)

Von

Offensichtlich sind weltweit tausende Microsoft SQL Server über das Internet erreichbar und nur mit schwachen Passwörtern abgesichert. Sicherheitsforscher von Guardicore berichten von massenhaft erfolgreichen Brute-Force-Attacken. Anschließend sollen die bislang unbekannten Angreifer verschiedene Malware zur Fernsteuerung oder Cryptomining hinterlassen.

Wie aus einem Bericht der Sicherheitsforscher hervorgeht, haben sie die ersten Attacken dieser Art im Mai 2018 beobachtet. Im Fokus der Kampagne sollen ausschließlich Microsoft SQL Server stehen. Dabei komme es täglich zu 3000 Infektionen. Als am meisten betroffene Länder führt der Bericht China, Indien, Südkorea und die Türkei auf.

Auf einer Github-Seite stellen die Sicherheitsforscher ein Skript bereit, mit dem Admins ihre MS SQL Server auf eine Infektion testen können. Aus ihren Analysen geht hervor, dass 60 Prozent der betroffenen Server nur über einen kurzen Zeitraum kompromittiert sind. 20 Prozent sollen zwischen einer und zwei Wochen infiziert sein. Nach einer Säuberung sollen 10 Prozent der Systeme gleich wieder betroffen sein.

Ist eine Brute-Force-Attacke erfolgreich, sollen Angreifer Systeme über verschiedene Backdoors so konfigurieren, dass sie den Fernzugriff über mehrere Wege sichern. Außerdem sollen die Angreifer gegen Malware von der Konkurrenz vorgehen und die eigenen Spuren in kompromittierten Systeme so gut es geht verwischen.

Download-Skripte holen dann Trojaner auf Server, um beispielsweise die Kryptowährung Vollar zu schürfen. Die Sicherheitsforscher beschreiben das Vorgehen der Drahtzieher der Kampagne als offensiv und vulgär. Aus diesen beiden Komponenten resultiert letztlich der von ihnen vergebene Kampagnen-Name "Vollgar".

Eigentlich sollten Datenbankensysteme nicht über das Internet erreichbar sein. Oft liegen auf solchen Server vertrauliche Firmen- und Kundendaten. Admins sollten sicherstellen, dass ausschließlich ausgewählte Personen auf so ein System zugreifen können. ist der Zugriff über das Internet unumgänglich, sollten Admins regelmäßig die Logdateien auf verdächtige Einträge abklopfen. Außerdem sollten an dieser Stelle zwingend starke Passwörter zum Einsatz kommen.

Kommt es zu einem Zwischenfall, müssen Server umgehend in Quarantäne genommen werden, um so den Zugriff auf Firmennetz zu unterbinden. Außerdem sollten Admins alle Kennwörter ändern, um erneute Angriffe nach diesem Schema zu vereiteln. (des)