【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密

admin 2023年4月24日09:29:33评论44 views字数 1232阅读4分6秒阅读模式
【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密

关键词

恶意入侵


【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密

近日,Microsoft SQL (MS-SQL) 服务器遭到攻击,因其安全性较差,入侵者进入服务器后直接安装了 Trigona 勒索软件,并加密了所有文件。


入侵者是利用了那些极易被猜到的帐户凭据为突破点,暴力攻击了MS-SQL 服务器,并安装了名为CLR Shell的恶意软件,这次攻击是被韩国网络安全公司AhnLab的安全研究人员发现的。


这种恶意软件专门用于收集系统信息,还可以直接更改那些被入侵的帐户配置。此外,该软件还可以利用Windows辅助登录服务中的漏洞将特权升级到LocalSystem,不过想完成这个操作需要启动勒索软件。AhnLab表示,CLR Shell是一种CLR汇编恶意软件,该软件在接收入侵者的命令后可直接执行恶意入侵行为,运行模式有点类似于web服务器的webshell。


然后入侵者会在下一阶段安装一个恶意软件dropper,用作svcservice.exe服务,继而就能启动Trigona勒索软件,作为svchost.exe。此外,他们还会配置勒索软件二进制文件。在每次系统重新启动时,通过Windows自动运行密钥自动启动,以确保系统在重新启动后仍处于被加密的状态。


在拿到赎金前,这个恶意软件会禁用系统针对Windows卷影副本进行恢复、删除的相关操作,所以要想恢复系统必须要有解密密钥。

【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密

Trigona勒索信,图源:BleepingComputer


2022年10月,MalwareHunterTeam首次发现了该恶意软件。在赎金方面,Trigona勒索软件仅接受门罗币加密货币。


Trigona会加密受害者设备上的所有文件,除了特定文件夹中的文件,包括Windows和Program files目录。该软件通过添加“._locked”为扩展名,以重命名加密文件,并在每个被锁定的文件中嵌入加密的解密密钥、活动ID和受害者ID(公司名称)。在进行这些加密操作之前,该团伙还声称已经窃取到了一些敏感文件,并且表示这些文件将被放到暗网上。


该软件还会创建名为“how_to_decrypt”的赎金笔记。每个文件夹中都包含一些入侵系统的信息,比如Trigona Tor协商网站的访问链接,以及包含登录协商网站所需的授权密钥。


【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密
Trigona样本提交(ID勒索软件) 


自今年年初以来,Trigona勒索软件团伙已经发起了多次攻击事件。据统计,仅向ID勒索软件平台发起的攻击事件至少有190起。


   END  

阅读推荐

【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密【安全圈】击穿24款杀毒软件,Money Message勒索病毒肆虐全网

【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密【安全圈】涉案金额高达1.7亿,网络水军犯罪团伙覆灭

【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密【安全圈】元宇宙对隐私的“嗜血”变本加厉,西门子处境极其危险

【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密【安全圈】人美声甜 GPT,数学题哪里不会讲哪里

【安全

【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密
【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密

安全圈

【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密

原文始发于微信公众号(安全圈):【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月24日09:29:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【安全圈】微软SQL服务器遭黑客入侵,所有文件都被加密https://cn-sec.com/archives/1682894.html

发表评论

匿名网友 填写信息