AhnLab 安全情报中心(ASEC)一直在监控管理不当的 MS-SQL 服务器,最近发现了一起滥用 GotoHTTP 的攻击案例。
1. 转到HTTP
远程控制工具用于远程控制系统,提供远程桌面和文件传输等功能。AnyDesk、ToDesk、RuDesktop、TeamViewer 和 AmmyyAdmin 是著名的远程控制工具的例子。
它们允许公司或个人在正常情况下远程控制和管理系统。然而,由于后门和 RAT 恶意软件也提供远程控制系统的功能,威胁行为者也可以利用它们。过去,TeamViewer 和 AmmyyAdmin 曾多次被滥用,而最近 AnyDesk 也频繁被用于攻击。
AnyDesk 经常用于针对管理不当的 Web 服务器或 MS-SQL 服务器的攻击。本文将介绍最近一个未知威胁行为者攻击 MS-SQL 服务器以安装 GotoHTTP 的案例。
图 1. GotoHTTP 网页
2. 针对 MS-SQL Server 的攻击
目标系统已暴露,并且很可能使用了弱帐户凭据。在最初的入侵之后,威胁行为者首先安装了 CLR SqlShell。与可以安装在 Web 服务器上的 WebShell 类似,SqlShell 是一种安装在 MS-SQL 服务器上后支持各种功能的工具,例如执行来自威胁行为者的命令并执行各种恶意行为。
图 2. 攻击中使用的 CLR SqlShell
威胁行为者使用 SqlShell 运行以下命令来查看有关受感染系统的信息。
> whoami.exe
> systeminfo.exe
> netstat.exe
图 3. MS-SQL 服务器执行威胁行为者的命令
随后,威胁行为者安装了用于提升权限的工具,例如 PetitPotato、SweetPotato、JuicyPotato、GodPotato、PrintNotifyPotato、LocalAdminSharp,以及配置或添加用户帐户的恶意软件。
请注意,对于 Web 服务或 MS-SQL 服务,由于漏洞或不适当的设置,它们的进程可以执行威胁行为者的命令。但是,由于它们默认以低权限运行,因此以这些进程权限运行的恶意软件株无法执行其他恶意行为。因此,威胁行为者主要在针对 Web shell 或 MS-SQL 服务器的攻击中使用 Potato 恶意软件。这是因为 Potato 类型的恶意软件通过利用当前正在运行的进程帐户的令牌中的特定权限来提升权限。
攻击者还安装了恶意软件,用于重置现有用户帐户的密码或添加新用户帐户,如下所示。这些添加的后门帐户随后可被威胁行为者使用 RDP 进行远程控制。
类型 | 账户 |
---|---|
用户设置 | Guest / FuckingIsBadBoys5! |
用户设置 | DefaultAccount / FuckingIsBadBoys5! |
添加用户 | vpn / FuckingIsBadBoys5! |
表 1. 用户设置
威胁行为者还额外安装了 GotoHTTP。与其他远程控制工具一样,GotoHTTP 提供远程屏幕控制。在受感染系统上安装 GotoHTTP 后,如果知道“Computer Id”和“Access Code”,即可远程控制系统。GotoHTTP 执行时,会在同一目录中创建一个名为“gotohttp.ini”的配置文件,该文件存储了“Computer Id”和“Access Code”。威胁行为者很可能在受感染系统中安装了 GotoHTTP,然后访问“gotohttp.ini”文件以启用远程控制。
MD5
1fdb1dd742674d3939f636c3fc4b761f
45d35c34b2c20cb184afde6ed146e86e
493aaca456d7d453520caed5d62fdc00
6b2fbf67dbb11d9bef35a5135d96af5f
90e9ff3b82ea8c336b45c9c949d41080
网址
http[:]//121[.]37[.]130[.]173/yow[.]txt
http[:]//121[.]37[.]130[.]173/yow2[.]txt
http[:]//121[.]37[.]130[.]173/yow3[.]txt
http[:]//121[.]37[.]130[.]173/yow4[.]txt
http[:]//121[.]37[.]130[.]173/yow5[.]txt
原文始发于微信公众号(Ots安全):针对 MS-SQL 服务器滥用 GotoHTTP 的攻击案例
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论