0x00 风险概述
2022年5月18日,微软安全情报团队警告近期针对暴露在互联网上且安全性较差的MSSQL Server的暴力破解攻击活动。
0x01 攻击详情
MSSQL Server是指微软的SQL Server数据库服务器,它是一个数据库平台,提供数据库的从服务器到终端的完整的解决方案,其中数据库服务器部分,是一个数据库管理系统,用于建立、使用和维护数据库。
微软安全情报团队表示,近期观察到针对SQL Server的攻击活动,该活动使用暴力破解方法进行初始破坏,该活动的突出之处在于它使用了合法工具sqlps.exe。
sqlps.exe是用于运行SQL-built cmdlets的 PowerShell 包装器,是MSSQL附带的一个实用程序,它允许将 SQL Server cmdlet 作为 LOLBin 加载,使攻击者能够执行PowerShell命令而不用担心防御者检测到其恶意行为。
攻击者通过生成 sqlps.exe 实用程序来运行侦察命令并将SQL服务的启动模式改为LocalSystem来实现无文件持久性。此外,攻击者还使用 sqlps.exe 创建新帐户,并将其添加到 sysadmin 角色中,以便能够完全控制SQL Server,执行其它操作,比如部署加密矿工这样的Payload。
近年来,针对MSSQL Server的攻击活动越来越多。之前2月份的一次活动中,攻击者入侵MSSQL Server并使用微软SQL xp_cmdshell命令投放Cobalt Strike beacon 。3 月,攻击者针对MSSQL Server部署 Gh0stCringe(又名 CirenegRAT)远程访问木马 (RAT)。多年来,MSSQL Server一直是大规模攻击活动的一部分,攻击者每天试图劫持数千台易受攻击的服务器以实现最终目标。
0x02 风险等级
高危。
0x03 影响范围
MSSQL Server
0x04 安全建议
为了保护MSSQL Server免受此类攻击,建议管理员不要将其暴露在Internet,使用强密码,并将服务器置于防火墙之后;启用日志记录以监控可疑活动或重复登录尝试;应用最新的安全更新来减少攻击面并阻止针对已知漏洞的攻击。
0x05 参考链接
https://twitter.com/MsftSecIntel/status/1526680351858475008
https://www.bleepingcomputer.com/news/security/microsoft-warns-of-brute-force-attacks-targeting-mssql-servers/
0x06 版本信息
|
版本 |
日期 |
修改内容 |
|
V1.0 |
2022-05-19 |
首次发布 |
0x07 附录
原文始发于微信公众号(维他命安全):【风险通告】微软警告针对MSSQL Server的攻击活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论