微软:警惕针对MSSQL服务器的暴力攻击
据Bleeping Computer网站5月18日消息,微软正对使用Microsoft SQL Server (MSSQL) 数据库服务器的用户发出安全警告,警惕攻击者利用弱密码对暴露在网络上的 MSSQL发动暴力攻击。
这已经不是MSSQL服务器第一次成为此类攻击的目标,但微软安全情报团队透露,最近观察到的这次活动背后的攻击者正在使用合法的sqlps.exe工具作为LOLBin(离地攻击,living-off-the-land binary的缩写)二进制文件来运行侦察命令,并将 SQL 服务的启动模式更改为 LocalSystem 来实现无文件持久性。
攻击者还使用 sqlps.exe 创建新帐户,并将其添加到 sysadmin 角色中,使他们能够完全控制 SQL 服务器,获得执行其他操作的权限,包括部署像挖矿木马这样的有效负载。
由于sqlps是Microsoft SQL Server 附带的一个实用程序,它允许将 SQL Server cmdlet 作为 LOLBin 加载,使攻击者能够执行 PowerShell 命令,而不必担心防御系统检测到他们的恶意行为。sqlps还会让这些攻击不留下任何痕迹,因为使用 sqlps 是绕过脚本块日志记录的有效方法,这是一种 PowerShell 功能,否则会将 cmdlet 操作记录到 Windows 事件日志中。
多年来,MSSQL 服务器一直是大规模攻击活动的主要目标之一,攻击者每天都会试图劫持数千台易受攻击的服务器。在近两年的攻击事件中,攻击者通过暴力破解,在2000多台暴露于网络上的服务器中安装了挖矿软件和远程访问木马。在今年3月的攻击报告中,攻击者针对 MSSQL 服务器部署了Gh0stCringe(又名 CirenegRAT)远程访问木马 。
为了保护 MSSQL 服务器免受此类攻击,微软建议对服务器使用不容易被破解的强密码,并确保服务器始终处在防火墙的保护之下,不要被暴露至公开的互联网络环境中。
参考来源:FreeBuf
