数据显示,黑客很容易受到攻击Microsoft SQL安装在数据库中Cobalt Strike在目标网络中获得立足点的信标。
这种新的攻击模式首先是综合网络安全提供商安博士(Ahn Lab)的ASEC研究人员发现,黑客在微软很容易受到攻击SQL部署在服务器上Cobalt Strike为了实现对目标网络的初始访问,并部署恶意负安全性差Microsoft SQL数据库是他们的主要目标。
攻击链启动后,攻击者会扫描TCP端口为1433的MS-SQL为了试图破解密码,服务器进行蛮力攻击和字典攻击。
攻击者部署了可访问服务器的加密货币挖掘工具,如Lemon Duck、KingMiner和Vollgar。攻击者安装开发工具Cobalt Strike实现持久性,并使用它进行横向移动。
如果攻击者通过这些过程成功登录admin他们将使用帐户xp_cmdshell命令在感染系统中执行。安博士最新发布的ASEC分析报告写道:最近发现的分析报告写道:Cobalt Strike如下所示MS-SQL进程通过cmd.exe和powershell.exe下载的。”
“Cobalt Strike合法植入信标Windows wwanmm.dll等待攻击者发出命令。MSBuild.exe中执行的Cobalt Strike有一个额外的设置选项可以绕过安全产品的检测,在这里加载普通产品dll wwanmm.dll,然后在dll在内存区域中写入并执行一个信标。报告继续分析。因为接收攻击者命令和执行恶意行为的信标不存在于可疑的内存区域,而是存在于正常模块中wwanmm.dll它可以绕过基于内存的检测。
目前还不清楚攻击者是如何控制的MS-SQL恶意软件安装在服务器上,但专家认为目标系统对账户凭证管理不当是存在的。
此外,安博士还发布了妥协指标,包括下载url、信标的MD5哈希值和C2服务器url等。
参考来源
https://www.bleepingcomputer.com/news/security/vulnerable-microsoft-sql-servers-targeted-with-cobalt-strike/