欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Agent 1433: 针对Microsoft SQL Server的远程攻击

来源:本站整理 作者:佚名 时间:2019-09-09 TAG: 我要投稿

全世界的大小公司都使用Microsoft SQL服务器进行数据库管理。虽然很流行,但是保护力度不够,该DBMS成为黑客的目标。基于Microsoft SQL服务器恶意job的远程攻击已经出现一段时间了,仍然被广泛用于访问工作站。
下图是2019年1月到7月针对Microsoft SQL Server的远程攻击地理分布图,其中攻击主要位于越南(约占16%)、俄罗斯(约占12%)、印度(约占7%)、中国(约占6%)、土耳其(约占5%)和巴西(约占5%)。

攻击描述
Microsoft SQL服务器攻击规模很大,而且没有什么特定的目标:攻击者会扫描子网来搜索使用弱口令的服务器。攻击首先是远程检查系统中是否安装了MS SQL服务器;然后继续暴力破解账号密码来访问系统。除了暴力破解密码外,攻击者还会通过用户帐户token实现授权。

SQL服务器授权
渗透测试完成后,攻击者就会修改服务器配置来访问命令行。完成后,就可以使用为SQL服务器创建的job来使恶意软件来目标系统中是安全的。
Job示例
Job是SQL服务器代理执行的命令行序列。可能会入侵大量的动作,包括启动SQL事务、命令行应用、Microsoft ActiveX脚本、Integration服务包、分析服务命令和查询,以及PowerShell脚本。
Job中包含多个步骤,代码中含有特定间隔中要执行的代码,允许攻击者将恶意文件传播到目标计算机中之后在删除。
下面是一些恶意查询的例子:
用标准ftp.exe工具安装恶意软件下载job:

用javascript从远处源下载恶意软件:

通过下面的执行过程将恶意软件写入系统中:

研究人员分析了通过恶意job传播到被黑机器的payload,发现其中大多数是加密货币挖矿机和远程访问木马。还有密码获取和权限提升工具。需要注意到是,payload的选择是根据攻击者的目标和功能决定的。
为了防止此类攻击,研究人员建议用户对SQL服务器账号使用鲁棒的、防暴力破解的强口令。还要检查代理SQL服务器的第三方job。
 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载