Bei der sogenannten Vollgar-Kampagne geht es um die Infizierung von 3.000 Microsoft SQL Servern pro Tag durch Malware. Hiervon berichten Sicherheitsforscher. Laut diesen, findet diese Infizierung bereits seit zwei Jahren statt. Dabei werden von den Angreifern Microsoft SQL Server ins Visier genommen und haben dabei mit ihren Attacken oft Erfolg.
Bei den erfolgreichen Attacken hinterlassen die Angreifer unterschiedliche Malware. Diese wird zur Fernsteuern oder Cryptomining der Microsoft SQL Server genutzt. Bei den Attacken handelt es sich um sogenannte Brute-Force-Attacken. Bei diesen Methoden versuchen die Angreifer Passwörter durch ein wahlloses und automatisiertes Ausprobieren herauszufinden. Schutz dagegen bieten beispielsweise lange und komplexe Passwörter mit Groß- und Kleinschreibung sowie unterschiedlichen Zahlen.
Die Angriffe werden dadurch ermöglicht, dass weltweit mehrere tausend der bestehenden Microsoft SQL Server auf dem Weg über das Internet erreichbar sind und darüber hinaus mit unsicheren Passwörtern geschützt sind. Dies erleichtert den Angreifern natürlich ihre Brute-Force-Attacke, da einfache Passwörter durch diese einfach geknackt werden können.
Am meisten von den Angriffen der Malware auf die Microsoft SQL Server betroffen sind, sind die Länder Südkorea, Indien, China und die Türkei. Bei den Angriffen werden ausschliesslich diese Art von Servern attackiert. Täglich kommt es infolge von Angriffen zu 3.000 neuen Infektionen, dabei gar nicht mitgezählt sind die Angriffe, die keinen Erfolg haben.
Die ersten Angriffe dieser Art datieren laut dem Bericht der Sicherheitsforscher aus dem Mai 2018. Bis zum heutigen Tag laufen diese Angriffe weiter und infizieren immer mehr Microsoft SQL Server mit den schädlichen Viren.
Eigenes Testen der Microsoft SQL Server ist jetzt von Nöten
Inzwischen haben Sicherheitsforscher ein Skript entwickelt, mit dem jeder Admin seinen Microsoft SQL Server selbst testen lassen kann. Dieses Skript steht auf einer Github-Seite zur freien Verfügung. Die Nutzung des Skripts wird von den Sicherheitsforschern laufend analysiert. Bei diesen Analysen kam heraus, dass es sich bei den Infektionen in 60 % der Fällen nur um einen kurzen Zeitraum handelt. Bei 20 % der Infektionen dauert beträgt der Zeitraum von einer bis zu zwei Wochen. Wird ein System gesäubert, so besteht eine zehnprozentige Chance, dass es gleich wieder von der schadhaften Software befallen wird.
Es handelt sich bei der Infektion also meistens um eine kurze Zeitspanne. Gleichzeitig besteht eine geringe Chance, dass das System nach einer dieser Infektionen sofort wieder befallen wird.
Die Angreifer gehen nach einer erfolgreichen Brute-Force-Attacke folgendermassen vor. Der Fernzugriff wird sofort über mehrere Wege gesichert, indem die System über verschiedene Backdoors konfiguriert werden. Ebenfalls gehen die Angreifer gegen die schädliche Software der Konkurrenz vor. Die eigenen Spuren verwischen sie dabei so gut es geht, so dass in den kompromittierten System so gut wie keine Spuren entdeckt werden können. Somit ist ein Aufspüren der Angreifer auch nur sehr schwer möglich.
Ist der eigentliche Angriff erfolgreich verlaufen, werden Trojaner auf den fremden Server geladen. Dies geschieht über Download-Skripte. Mit diesen Trojanern wird dann beispielsweise die Kryptowährung Vollar geschürft. In Fachkreisen wird dieses Vorgehen als offensiv und vulgär beschrieben. Aus den Komponenten der beiden Wörter Voller und vulgär ist der anfangs bereits erwähnte Kampagnen Name entstanden – Vollgar.
Wie können Datenbank-Server gegen das fremde Eindringen geschützt werden?
Auf Datenbanksystem liegen oft vertrauliche Daten, wie etwa von Firmen oder Kunden. Daher sollten diese System eigentlich über das Internet nicht erreichbar sein. Dies kann aber in einigen Fällen unumgänglich sein. Ist dies nach sorgfältiger Prüfung tatsächlich notwendig, sollten die Logdateien von den Admins der Server regelmässig überprüft werden. Dabei sollten dies auf verdächtige Einträge abgesucht werden. Des Weiteren sollte auch bei nicht über das Internet zugänglichen Servern sichergestellt werden, dass diese nur von einem ausgewählten Personenkreis genutzt werden können.
Unumgänglich und das allerwichtigste sind zudem starke Passwörter. Nur diese bieten einen Schutz gegen Brute-Force-Attacken. Die Passwörter zu solch wichtigen Servern sollten daher sorgfältig ausgesucht und nirgendwo hinterlegt werden. Nur komplexe Passwörter bieten einen Schutz gegen die Brute-Force-Attacken.
Wenn es trotz all dieser Sicherheitsmassnahmen trotzdem zu einem Angriff kommt, muss folgendermassen vorgegangen werden. Alle Server müssen sofort in Quarantäne gestellt werden. Nur so kann der Zugriff auf das gesamte Firmennetz unterbrochen werden.
Eine andere wichtige Massnahme betrifft wieder die Passwörter. Diese sollten sofort nach einem erfolgreichen Angriff komplett geändert werden. Nur so kann verhindert werden, dass wiederholt Angriffe auf diese Weise durchgeführt werden können. Dabei sollten nach einem erfolgreichen Angriff keine ähnlichen Passwörter wie vorher verwendet werden. Denn die Angriffe können ja mit einer zehnprozentigen Chance nach der erfolgreichen ersten Attacke erneut auftreten. Dies sollte zum Schutz der Microsoft SQL Server beherzigt werden.
Fazit – nur starke Passwörter schützen
Aufgrund der hohen Zahl von Microsoft SQL Servern, die jeden Tag infiziert werden, sollten die genannten Tipps unbedingt beherzigt werden. Die daraus entstehenden Schäden können für den Besitzer der Server verheerend sein.
Eine der wenigen wirksamen Schutzmassnahmen gegen Brute-Force-Attacken sind komplexe und sichere Passwörter. Einfache und Standardpasswörter haben gegen diese Angriffe keine Chance, auch wenn sie von jedem gerne genutzt werden. Trotzdem muss gerade bei sensiblen Kunden- oder Firmendaten die Sicherheit der Daten im Vordergrund stehen.