Microsoft SQL-Server stehen seit längerer Zeit im Fokus einer Malware, die immer wieder neue Opfer findet. Mit Brute-Force-Angriffen verschafft sich ein Trojaner Zugang und bietet seinen Betreibern dann verschiedene Dienste an.
Sicherheitsforscher der Guardicore Labs wurden erstmals im Mai 2018 auf eine vermehrte Zahl von Brute-Force-Attacken auf die fraglichen SQL Server aufmerksam. Betroffen waren stets solche Systeme, die frei aus dem Internet erreichbar waren. Untersuchungen zeigten dann einen Remote-Access-Trojaner, der schon seit dem Mai 2018 aktiv war, zuvor aber weitgehend unter dem Radar blieb.
Die Ursprünge der Malware-Kampagne, die auf den Namen Vollgar getauft wurde, sind vermutlich in China zu suchen. Immerhin waren anfänglich die meisten infizierten Server, von denen aus nach weiteren Opfern gesucht wurde, dort zu finden. Aber auch die Kommando-Server haben IP-Adressen aus China und sind mit einem chinesischsprachigen Interface ausgestattet. Auch wenn Ursprünge von IT-Angriffen so gut wie nie sicher lokalisiert werden können, gibt das eben doch Indizien.
Hohe Durchschlagskraft
Eine solche Malware-Kampagne gegen aktiv genutzte Server ist extrem dynamisch, wie sich auch im Falle Vollgars zeigt. Rund 60 Prozent der befallenen Server waren nur ziemlich kurze Zeit infiziert, in der die Malware dann ihre Wirkung entfalten musste. Lediglich um die 20 Prozent der Systeme blieben längere Zeit befallen, was mehr als eine Woche und in wenigen Fällen sogar mehr als zwei Wochen bedeutete. Für gewöhnlich unterliegen aktive Server einer recht guten Überwachung durch Administratoren, so dass die Tarn-Mechanismen als ziemlich gut bewertet werden müssen.
Aber auch die Brute-Force-Attacke, bei der Zugangsdaten durch probieren herausgefunden werden, war außerordentlich gut umgesetzt. Dadurch schaffte die Malware immerhin 2000 bis 3000 Neuinfektionen täglich. Bei einer halben Million SQL Server-Instanzen, die aus dem Internet erreichbar sind, eine recht beachtliche Menge.
Anmelden
Microsoft SQL-Server stehen seit längerer Zeit im Fokus einer Malware, die immer wieder neue Opfer findet. Mit Brute-Force-Angriffen verschafft sich ein Trojaner Zugang und bietet seinen Betreibern dann verschiedene Dienste an.
Sicherheitsforscher der Guardicore Labs wurden erstmals im Mai 2018 auf eine vermehrte Zahl von Brute-Force-Attacken auf die fraglichen SQL Server aufmerksam. Betroffen waren stets solche Systeme, die frei aus dem Internet erreichbar waren. Untersuchungen zeigten dann einen Remote-Access-Trojaner, der schon seit dem Mai 2018 aktiv war, zuvor aber weitgehend unter dem Radar blieb.