安全研究人员发现了针对易受攻击的 Microsoft SQL Server 的新 Cobalt Strike 攻击。虽然这些发现是信标,但它们可能会导致更深入地渗透服务器并最终传播恶意软件。
Microsoft SQL 是最流行的数据库管理系统之一,被主要的互联网应用程序以及数百万个小型服务所使用。
一个问题是许多部署——尤其是较小的部署——没有适当的安全性,并且受到弱密码的保护。在一份新报告中,Ahn Lab 的 ASEC 表示,威胁行为者现在正在利用 Cobalt Strike 的这一漏洞。
攻击者将扫描服务器以找到开放的 TCP 端口 1433,这是 MS-SQL 服务器面向公众的标志之一。当发现一个开放端口时,黑客会进行暴力破解和字典攻击以发现密码。
只有在密码较弱的情况下才能破解密码。如果发生这种情况,攻击者将获得对 SQL Server 管理员帐户的访问权限。在 ASEC 观察到的攻击中,包括硬币矿工和使用 Cobalt Strike 创建后门。
后门
通过命令外壳进程安装 Cobalt Strike,信标被放置在合法的 Windows wwanmm.dll 进程中。它保持隐藏状态,让攻击者在需要时可以持续访问。
“由于接收攻击者命令并执行恶意行为的信标不存在于可疑内存区域,而是在正常模块 wwanmm.dll 中运行,它可以绕过基于内存的检测,” Ahn Lab 的 ASEC报告指出团体。
值得注意的是,Cobalt Strike 被设想为一种道德黑客工具,但也被网络犯罪分子使用。
通常,这种攻击是一种相对容易预防的攻击。MS-SQL 上的所有管理员需要做的就是创建一个强密码。
未经允许不得转载:表盘吧 » 微软 SQL Server 遭受 Cobalt Strike 攻击
