微软SQL服务器被黑客入侵以窃取代理服务的带宽

威胁参与者通过使用广告软件捆绑包、恶意软件甚至入侵 Microsoft SQL 服务器来将设备转换为通过在线代理服务租用的代理来创收。

为了窃取设备的带宽，攻击者会安装名为“代理软件”的软件，该软件将设备的可用互联网带宽分配为代理服务器，远程用户可以将其用于各种任务，如测试、情报收集、内容分发或市场研究。

Botters 也喜欢这些代理服务，因为他们可以访问未被在线零售商列入黑名单的住宅 IP 地址。

作为共享带宽的回报，设备所有者从向客户收取的费用中分得一份收入。例如，Peer2Profit 服务显示用户通过在数千台设备上安装公司的软件每月可赚取高达 6,000 美元的收入。

Peer2Profit 代理服务的前10名用户

根据韩国公司 Ahnlab的研究人员今天发布的一份新报告，已经出现了新的恶意软件活动，它们安装代理软件以通过共享受害者的网络带宽来赚钱。

攻击者通过为用户设置电子邮件地址来获得带宽补偿，而受害者可能只会注意到一些连接速度变慢和中断。

在设备上偷偷代理客户端

Ahnlab 观察到通过广告软件捆绑包和其他恶意软件为 Peer2Profit 和 IPRoyal 等服务安装代理软件。

恶意软件检查代理客户端是否在主机上运行，如果它被停用，它可以使用“p2p_start()”函数启动它。

创建和运行 Peer2Profit SDK (ASEC)

对于 IPRoyal 的 Pawns，恶意软件更喜欢安装客户端的 CLI 版本而不是 GUI 版本，因为目标是让进程在后台秘密运行。

安装和配置 Pawns CLI (ASEC)

在最近的观察中，攻击者使用 DLL 形式的 Pawns，并以编码字符串形式提供他们的电子邮件和密码，并使用“Initialize()”和“startMainRoutine()”函数启动它。

启动程序(ASEC)

在设备上安装代理软件后，该软件会将其添加为可用代理，远程用户可以使用该代理在 Internet 上执行任何他们想要的任务。

不幸的是，这也意味着其他威胁参与者可以在受害者不知情的情况下使用这些代理进行非法活动。

也感染 MS-SQL 服务器

根据 Ahnlab 的报告，恶意软件运营商使用这种方案来创收也针对易受攻击的 MS-SQL 服务器安装 Peer2Profit 客户端。

这种情况自 2022 年 6 月上旬以来一直在发生，从受感染系统中检索到的大多数日志都显示存在一个名为“sdk.mdf”的 UPX 打包数据库文件。

安装 Peer2Profit (ASEC)的 SQL 进程

Microsoft SQL 服务器更常见的威胁是 执行加密劫持的加密货币硬币矿工 。还有很多情况下，攻击者通过 Cobalt Strike 信标使用服务器作为进入网络的枢纽点。

使用代理软件客户端背后的原因可能是增加了长时间未被发现的机会，这转化为更可观的利润。不过，目前尚不清楚他们通过这种方法赚了多少钱。

此外，Microsoft SQL 服务器通常位于具有丰富 Internet 带宽的公司网络或数据中心，代理服务可以将其出售用于非法目的。

原文始发于微信公众号（网络研究院）：微软SQL服务器被黑客入侵以窃取代理服务的带宽