网络攻击活动针对暴露的 Microsoft SQL (MS SQL) 数据库,旨在传播勒索软件和 Cobalt Strike 有效负载。
攻击活动
攻击者通过暴力破解访问凭据来攻击暴露的 MS SQL 服务器。成功通过身份验证后,他们开始枚举数据库。(经常)启用的 xp_cmdshell 功能还允许攻击者在主机上运行 shell 命令并启动多个有效负载。
攻击者然后:
- 在受害主机上创建新用户
- 更改注册表以确保连接成功
- 禁用系统防火墙
他们连接到远程 SMB 共享,允许他们安装其他工具,包括 Cobalt Strike 命令和控制负载以及 AnyDesk 远程访问工具 (RAT)。
他们还下载了先进的端口扫描仪来帮助他们发现横向移动的途径,并下载 Mimikatz 来实现凭证转储。
Securonix 研究人员表示:“命令快速连续执行,表明他们很可能是从工具列表或文档中复制命令。”
最后,他们部署了 FreeWorld 勒索软件,这是 Mimic 勒索软件的变种。“为了实现其目标,它遵循许多类似的 TTP。这两种变体似乎都滥用合法应用程序 Everything 来查询和定位要加密的目标文件,”他们补充道。
加密的文件具有“.FreeWorldEncryption”扩展名,一旦勒索软件完成加密,就会显示勒索字条,其中包含如何付费以解密文件的说明。
MS SQL 服务器受到攻击
Trustwave 最近在世界主要地区部署了模仿九种流行数据库系统(MS SQL Server、MySQL、Redis、MongoDB、PostgreSQL、Oracle DB、IBM DB2、Cassandra 和 Couchbase)的蜜罐服务器,并很快发现了针对 MS 的攻击活动SQL蜜罐占总数的93%。
MS SQL 服务器对于网络犯罪分子来说是一个有吸引力的目标,因为它们被广泛使用并且通常存储有价值的数据。
攻击者还发现它们很有用,因为他们可以使它们成为加密挖矿僵尸网络的一部分或将它们用作代理服务器。
为了保证 MS SQL 服务器的安全,管理员应该:
- 限制 xp_cmdshell 存储过程的使用
- 仅允许通过 VPN 访问服务器
- 监控常见恶意软件暂存目录
- 扩展日志记录以提高检测覆盖范围
“攻击最初是通过对 MS SQL 服务器进行暴力攻击而成功的。目前尚不清楚攻击者是否使用基于字典的密码喷射尝试或随机密码喷射尝试。然而,强调强密码的重要性很重要,尤其是在公开的服务上,”研究人员总结道。
文章来源:https://www.helpnetsecurity.com/2023/09/06/ms-sql-cyberattack/
