(图片来源:未来)
安全研究人员发现了一项在保护不佳的 Microsoft SQL Server 上安装 Cobalt Strike 信标的新活动。
大量 MS-SQL Server 实例通过携带弱密码暴露在互联网上,许多威胁行为者都知道如何滥用这些密码 - 来自 Ahn Lab 的 ASEC 的网络安全研究人员现在发现有人这样做。
首先,他们在互联网上扫描具有开放 TCP 端口 1433 的端点。然后,他们对这些服务器进行暴力攻击,尝试无限数量的密码,直到有一个密码。研究人员补充说,为了使攻击起作用,密码需要相对容易猜到。
滥用合法软件
一旦攻击者进入,他们安装什么只是一个偏好问题。有时是加密货币矿工,例如 LemonDuck、KingMiner 或 Vollgar,但大多数时候是 Cobalt Strike。
Cobalt Strike 是一种付费渗透测试产品,经常被威胁参与者滥用于邪恶目的。它可以在整个目标网络中实现持久性和横向移动。威胁参与者可以使用它来执行命令、记录密钥、提升权限、扫描端口和窃取凭据。更重要的是,它的无文件 shellcode 减少了实例被防病毒解决方案发现的机会。
“由于接收攻击者命令并执行恶意行为的信标不存在于可疑内存区域,而是在正常模块 wwanmm.dll 中运行,因此它可以绕过基于内存的检测,”研究人员解释说。
虽然攻击者的名字仍然是个谜,但 AhnLab 确实表示,最近这些攻击中使用的所有下载 URL 以及 C2 服务器 URL 都指向同一威胁者。
保持安全的最佳方法是保留一个强密码,其中包括一串大小写字母、数字以及符号。避免使用按顺序排列的数字(123、789)、有意义的日期(例如生日)或可以通过社会工程获得的名称(街道名称、重要他人的姓名、儿童、宠物等)。
除了强密码,还建议用户将服务器放在防火墙后面,记录所有内容,并留意可疑行为。他们还应该确保所有软件都经常更新。
- 查看我们今天最好的防火墙列表
文章来源:https://www.techradar.com/sg/news/microsoft-sql-servers-hit-by-cobalt-strike-attacks
