Microsoft SQL伺服器被駭客入侵 頻寬被竊取

前言：Microsoft SQL伺服器被駭客入侵，頻寬被竊取，使用者卻無法察覺。資訊時代，保障資料安全尤為重要。

駭客透過使用廣告軟體包、惡意軟體，甚至入侵Microsoft SQL Server，將電腦伺服器轉換為透過線上的代理伺服器，從而產生收入。

為了竊取裝置的頻寬，駭客安裝了名為“proxyware”的軟體，該軟體會將裝置的可用網際網路頻寬分配為代理伺服器，遠端使用者可以將其用於各種任務，如測試、情報收集、內容分發或市場研究。Botters也喜歡用代理服務，因為這樣他們可以訪問未被線上零售商列入黑名單的住宅IP地址。

作為共享頻寬的回報，裝置所有者可以從向客戶收取的費用中獲得抽成。例如，Peer2Profit服務顯示，使用者透過在數千臺裝置上安裝該公司的軟體，每月最高可以賺到6000美元。

根據韓國Ahnlab公司研究人員今天釋出的一份新報告顯示，出現了一種新的惡意軟體，該軟體透過安裝代理軟體以達到用受害者的網路頻寬來賺錢。駭客透過為使用者設定電子郵件地址來獲得頻寬補償，而使用者可能只會察覺到網路速度或連線有時會變慢。

在裝置上隱藏代理客戶端

Ahnlab公司觀察到，駭客透過捆綁廣告軟體包和其他惡意軟體，為Peer2Profit和IPRoyal等服務安裝了代理軟體。

惡意軟體檢查代理客戶端是否在主機上執行，如果停用，它可以使用 "p2p_start() 函式來啟動。

對於 IPRoyal 的 Pawns，惡意軟體更喜歡安裝客戶端的 CLI 版本而不是 GUI 版本，因為其目的是讓該程式在後臺隱蔽地執行。

在最近的觀察中，駭客使用DLL形式的Pawns，以編碼的字串形式提供他們的電子郵件和密碼，並用 "Initialize() ”和 "startMainRoutine() "函式來啟動。

在裝置上安裝代理軟體後，該軟體會將其新增為可用代理，遠端使用者可以使用它在網際網路上進行任何操作。這也意味著其他駭客可以在受害者不知情的情況下使用這些代理進行非法活動。

感染Microsoft SQL伺服器

根據 Ahnlab的報告，惡意軟體運營商使用這種方案來創收，還會針對易受攻擊的 MS-SQL 伺服器安裝 Peer2Profit 客戶端。

這種情況自 2022 年 6 月上旬以來一直在發生，從受感染系統中檢索到的大多數日誌都顯示存在一個名為“sdk.mdf”的 UPX 打包資料庫檔案。

在Microsoft SQL伺服器更常見的威脅加密貨幣劫持和加密貨幣礦工後臺挖礦，也有駭客透過Cobalt Strike信標將伺服器作為進入網路的樞紐點。 

使用代理軟體客戶端背後的原因可能是不被發現，這樣可以獲取更大的利潤。不過，目前還不清楚駭客透過這種方法賺了多少錢。

在今天的資訊時代，資料是一種十分寶貴的資源。Microsoft SQL 伺服器通常位於具有豐富頻寬的公司網路或資料中心，惡意代理服務商非法獲取後將其出售用於非法目並獲利。但是面對駭客的攻擊我們可以透過“IP代理檢測”或“”風險畫像來識別出VPN、代理或Tor連線，以此來保護我們的資料安全。