关于ZAKER 合作 加入

Agent 1433: 针对 Microsoft SQL Server 的远程攻击

全世界的大小公司都使用 Microsoft SQL 服务器进行数据库管理。虽然很流行,但是保护力度不够,该 DBMS 成为黑客的目标。基于 Microsoft SQL 服务器恶意 job 的远程攻击已经出现一段时间了,仍然被广泛用于访问工作站。

下图是 2019 年 1 月到 7 月针对 Microsoft SQL Server 的远程攻击地理分布图,其中攻击主要位于越南(约占 16%)、俄罗斯(约占 12%)、印度(约占 7%)、中国(约占 6%)、土耳其(约占 5%)和巴西(约占 5%)。

攻击描述

Microsoft SQL 服务器攻击规模很大,而且没有什么特定的目标:攻击者会扫描子网来搜索使用弱口令的服务器。攻击首先是远程检查系统中是否安装了 MS SQL 服务器;然后继续暴力破解账号密码来访问系统。除了暴力破解密码外,攻击者还会通过用户帐户 token 实现授权。

SQL 服务器授权

渗透测试完成后,攻击者就会修改服务器配置来访问命令行。完成后,就可以使用为 SQL 服务器创建的 job 来使恶意软件来目标系统中是安全的。

Job 示例

Job 是 SQL 服务器代理执行的命令行序列。可能会入侵大量的动作,包括启动 SQL 事务、命令行应用、Microsoft ActiveX 脚本、Integration 服务包、分析服务命令和查询,以及 PowerShell 脚本。

Job 中包含多个步骤,代码中含有特定间隔中要执行的代码,允许攻击者将恶意文件传播到目标计算机中之后在删除。

下面是一些恶意查询的例子:

用标准ftp.exe 工具安装恶意软件下载 job

用 javascript 从远处源下载恶意软件:

通过下面的执行过程将恶意软件写入系统中:

研究人员分析了通过恶意 job 传播到被黑机器的 payload,发现其中大多数是加密货币挖矿机和远程访问木马。还有密码获取和权限提升工具。需要注意到是,payload 的选择是根据攻击者的目标和功能决定的。

为了防止此类攻击,研究人员建议用户对 SQL 服务器账号使用鲁棒的、防暴力破解的强口令。还要检查代理 SQL 服务器的第三方 job。

觉得文章不错,微信扫描分享好友

扫码分享