针对 MS-SQL 服务器滥用 GotoHTTP 的攻击案例

admin 2024年11月1日17:49:15评论10 views字数 2171阅读7分14秒阅读模式

针对 MS-SQL 服务器滥用 GotoHTTP 的攻击案例

针对 MS-SQL 服务器滥用 GotoHTTP 的攻击案例

AhnLab 安全情报中心(ASEC)一直在监控管理不当的 MS-SQL 服务器,最近发现了一起滥用 GotoHTTP 的攻击案例。

1. 转到HTTP

远程控制工具用于远程控制系统,提供远程桌面和文件传输等功能。AnyDesk、ToDesk、RuDesktop、TeamViewer 和 AmmyyAdmin 是著名的远程控制工具的例子。

它们允许公司或个人在正常情况下远程控制和管理系统。然而,由于后门和 RAT 恶意软件也提供远程控制系统的功能,威胁行为者也可以利用它们。过去,TeamViewer 和 AmmyyAdmin 曾多次被滥用,而最近 AnyDesk 也频繁被用于攻击。

AnyDesk 经常用于针对管理不当的 Web 服务器或 MS-SQL 服务器的攻击。本文将介绍最近一个未知威胁行为者攻击 MS-SQL 服务器以安装 GotoHTTP 的案例。

针对 MS-SQL 服务器滥用 GotoHTTP 的攻击案例

图 1. GotoHTTP 网页

2. 针对 MS-SQL Server 的攻击

目标系统已暴露,并且很可能使用了弱帐户凭据。在最初的入侵之后,威胁行为者首先安装了 CLR SqlShell。与可以安装在 Web 服务器上的 WebShell 类似,SqlShell 是一种安装在 MS-SQL 服务器上后支持各种功能的工具,例如执行来自威胁行为者的命令并执行各种恶意行为。

针对 MS-SQL 服务器滥用 GotoHTTP 的攻击案例

图 2. 攻击中使用的 CLR SqlShell

威胁行为者使用 SqlShell 运行以下命令来查看有关受感染系统的信息。

> whoami.exe
> systeminfo.exe
> netstat.exe

针对 MS-SQL 服务器滥用 GotoHTTP 的攻击案例

图 3. MS-SQL 服务器执行威胁行为者的命令

随后,威胁行为者安装了用于提升权限的工具,例如 PetitPotato、SweetPotato、JuicyPotato、GodPotato、PrintNotifyPotato、LocalAdminSharp,以及配置或添加用户帐户的恶意软件。

请注意,对于 Web 服务或 MS-SQL 服务,由于漏洞或不适当的设置,它们的进程可以执行威胁行为者的命令。但是,由于它们默认以低权限运行,因此以这些进程权限运行的恶意软件株无法执行其他恶意行为。因此,威胁行为者主要在针对 Web shell 或 MS-SQL 服务器的攻击中使用 Potato 恶意软件。这是因为 Potato 类型的恶意软件通过利用当前正在运行的进程帐户的令牌中的特定权限来提升权限。

攻击者还安装了恶意软件,用于重置现有用户帐户的密码或添加新用户帐户,如下所示。这些添加的后门帐户随后可被威胁行为者使用 RDP 进行远程控制。

类型 账户
用户设置 Guest / FuckingIsBadBoys5!
用户设置 DefaultAccount / FuckingIsBadBoys5!
添加用户 vpn / FuckingIsBadBoys5!

表 1. 用户设置

威胁行为者还额外安装了 GotoHTTP。与其他远程控制工具一样,GotoHTTP 提供远程屏幕控制。在受感染系统上安装 GotoHTTP 后,如果知道“Computer Id”和“Access Code”,即可远程控制系统。GotoHTTP 执行时,会在同一目录中创建一个名为“gotohttp.ini”的配置文件,该文件存储了“Computer Id”和“Access Code”。威胁行为者很可能在受感染系统中安装了 GotoHTTP,然后访问“gotohttp.ini”文件以启用远程控制。

针对 MS-SQL 服务器滥用 GotoHTTP 的攻击案例

图 4. 使用 GotoHTTP 进行远程控制
3. 结论
攻击者在最初入侵后安装后门恶意软件以控制目标系统。最近,有一种趋势是使用常规实用程序而不是使用已知的后门恶意软件或创建新的后门恶意软件。为此,人们使用了通常由各种用户使用的远程控制程序。
近期,AnyDesk 被滥用的案例屡见不鲜,但本次发现的攻击案例中,使用了远程控制工具 GotoHTTP。威胁行为者滥用这些合法的远程控制工具来绕过安全产品检测,并在 GUI 环境中控制受感染的系统。
针对 MS-SQL 服务器的典型攻击包括暴力攻击和字典攻击,这些攻击针对的是账户凭证管理不善的系统。管理员必须使用不易猜到的密码并定期更改密码,以保护数据库服务器免受暴力攻击和字典攻击。
应将 V3 更新至最新版本,以防止恶意软件感染。管理员还应使用防火墙等安全程序来限制外部威胁行为者的访问,以防止外部威胁行为者的访问。如果不提前采取上述措施,可能会发生威胁行为者和恶意软件的持续感染。

MD5

1fdb1dd742674d3939f636c3fc4b761f

45d35c34b2c20cb184afde6ed146e86e

493aaca456d7d453520caed5d62fdc00

6b2fbf67dbb11d9bef35a5135d96af5f

90e9ff3b82ea8c336b45c9c949d41080

网址

http[:]//121[.]37[.]130[.]173/yow[.]txt

http[:]//121[.]37[.]130[.]173/yow2[.]txt

http[:]//121[.]37[.]130[.]173/yow3[.]txt

http[:]//121[.]37[.]130[.]173/yow4[.]txt

http[:]//121[.]37[.]130[.]173/yow5[.]txt

原文始发于微信公众号(Ots安全):针对 MS-SQL 服务器滥用 GotoHTTP 的攻击案例

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月1日17:49:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   针对 MS-SQL 服务器滥用 GotoHTTP 的攻击案例https://cn-sec.com/archives/3343699.html

发表评论

匿名网友 填写信息