據(jù)報道稱�����,微軟正對使用Microsoft SQL Server (MSSQL) 數(shù)據(jù)庫服務(wù)器的用戶發(fā)出安全警告����,警惕攻擊者利用弱密碼對暴露在網(wǎng)絡(luò)上的 MSSQL發(fā)動暴力攻擊��。
這已經(jīng)不是MSSQL服務(wù)器第一次成為此類攻擊的目標�,但微軟安全情報團隊透露�����,最近觀察到的這次活動背后的攻擊者正在使用合法的sqlps.exe工具作為LOLBin(離地攻擊����,living-off-the-land binary的縮寫)二進制文件來運行偵察命令,并將 SQL 服務(wù)的啟動模式更改為 LocalSystem 來實現(xiàn)無文件持久性���。
攻擊者還使用 sqlps.exe 創(chuàng)建新帳戶����,并將其添加到 sysadmin 角色中�,使他們能夠完全控制 SQL 服務(wù)器,獲得執(zhí)行其他操作的權(quán)限�,包括部署像挖礦木馬這樣的有效負載。
由于sqlps是Microsoft SQL Server 附帶的一個實用程序��,它允許將 SQL Server cmdlet 作為 LOLBin 加載���,使攻擊者能夠執(zhí)行 PowerShell 命令�����,而不必擔(dān)心防御系統(tǒng)檢測到他們的惡意行為����。sqlps還會讓這些攻擊不留下任何痕跡���,因為使用 sqlps 是繞過腳本塊日志記錄的有效方法�,這是一種 PowerShell 功能���,否則會將 cmdlet 操作記錄到 Windows 事件日志中����。
多年來��,MSSQL 服務(wù)器一直是大規(guī)模攻擊活動的主要目標之一�,攻擊者每天都會試圖劫持數(shù)千臺易受攻擊的服務(wù)器。在近兩年的攻擊事件中����,攻擊者通過暴力破解,在2000多臺暴露于網(wǎng)絡(luò)上的服務(wù)器中安裝了挖礦軟件和遠程訪問木馬�����。在今年3月的攻擊報告中,攻擊者針對 MSSQL 服務(wù)器部署了Gh0stCringe(又名 CirenegRAT)遠程訪問木馬 �。
為了保護 MSSQL 服務(wù)器免受此類攻擊,微軟建議對服務(wù)器使用不容易被破解的強密碼�,并確保服務(wù)器始終處在防火墻的保護之下,不要被暴露至公開的互聯(lián)網(wǎng)絡(luò)環(huán)境中���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
