技術支援
文件
登錄
聯繫我們
MSSQL 資料庫利用:駭客分發 FreeWorld
瓦賈哈特·拉賈
實施期間: 2023年9月18 日 - TuxCare專家團隊
在不斷變化的網路威脅範圍內,安全性較差的Microsoft SQL (MSSQL) 伺服器已成為駭客(尤其是勒索軟體組織)的主要目標。在最近一波 名為DB#JAMMER的MSSQL資料庫利用攻擊中,欺詐者使用蠻力技術進入MSSQL伺服器,然後推出Cobalt Strike和一種稱為FreeWorld勒索軟體攻擊的新形式的Mimic勒索軟體的組合。
錯綜複雜的攻擊策略 – 訪問和持久性
攻擊者通過使用暴力方法來猜測 MSSQL 伺服器憑據,從而啟動了他們的計劃勒索軟體,以 MSSQL 為目標。目前還不清楚他們是否使用了基於字典的方法或密碼噴灑,這需要利用從早期資料庫駭客中收集的登錄名和密碼組合。
當涉及到MSSQL資料庫利用時,已經發現 駭客 通過遵循管道來利用資料庫。駭客在獲得首次訪問許可權后仔細檢查了資料庫,列舉了所有具有訪問許可權的使用者。他們還尋找了一種稱為xp_cmdshell的功能的存在。此 Transact-SQL 語句允許資料庫管理員在 Windows 環境中運行 shell 命令並以文本形式獲取結果。攻擊者大量使用xp_cmdshell。他們首先啟動了wmic.exe,net.exe和ipconfig等Windows應用程式.exe以獲取系統和網路資訊。然後,他們使用它來更改Windows帳戶和系統註冊表。
令人驚訝的是,攻擊者在受害者的主機上添加了三個新使用者:“Windows”,“adminv$”和“mediaadmin$”。這些使用者中的每一個都已添加到「管理員」和「遠端桌面使用者」組中。有趣的是,攻擊者使用針對多種語言(包括英語、德語、波蘭語、西班牙語和加泰羅尼亞語)量身定製的大規模單行命令創建了這些帳戶並修改了組成員身份。
進行了進一步的更改,以確保新用戶的密碼和登錄會話永不過期。註冊表進行了大量修改,包括啟用遠端桌面協定 (RDP) 服務、禁用使用者存取控制限制以及在本地登錄螢幕中隱藏遠端登錄使用者。這些資料庫安全漏洞過程旨在為攻擊者提供對系統的遠端控制,其方式比使用資料庫xp_cmdshell命令更微妙且難以檢測。
但是,駭客遇到了一個絆腳石:網路防火牆禁止傳入的RDP連接。為了解決這個問題,他們試圖實現Ngrok,一種反向代理和隧道解決方案。
惡意負載
攻擊者在他們控制的伺服器上創建了一個遠端 SMB 共用,允許他們在本地掛載包含其工具和有效負載的目錄。該存儲庫包含一個保存為“srv.exe”的Cobalt Strike命令和控制代理以及AnyDesk遠端桌面軟體的一個版本。
他們還 使用網路埠掃描程式和Mimikatz憑據轉儲工具來嘗試導航網路。當攻擊者確定機器被完全穿透時,他們丟棄了一個名為“5000.exe”的檔,該檔是一個名為FreeWorld的勒索軟體程式的投放器。實際上,自由世界是著名的Mimic勒索軟體的更新版本。
Mimic和FreeWorld都使用一個名為“Everything.exe”的配套應用程式來定位要加密的檔。加密檔具有“.自由世界加密「擴展名,勒索軟體包括一個」自由世界聯繫.txt「檔,其中包含有關如何支付贖金的說明。
針對 MSSQL 資料庫利用的防禦措施
根據Trustwave的調查, MSSQL是最有針對性的關係資料庫管理系統。大多數攻擊使用暴力密碼猜測技術,強調了對可通過互聯網訪問的MSSQL資料庫使用唯一且複雜的密碼的重要性。
MSSQL 安全最佳實踐
為了防止 MSSQL 漏洞,限制在系統上使用 xp_cmdshell 方法也很重要。沒有它,攻擊者將更難在目標系統上遠端執行代碼。
考慮使用 VPN 隧道來保護 MSSQL 伺服器,而不是將它們直接暴露給互聯網以提高安全性。建議定期監視常見的惡意軟體暫存目錄,例如“C:WindowsTemp”。進程級監視(如 Sysmon 和 PowerShell 日誌記錄)也有助於加強對這些勒索軟體分發方法的防禦。
結論
隨著網路威脅的增長,組織瞭解並實施強大的 MSSQL 資料庫安全措施至關重要。您可以通過使用安全密碼、最大限度地減少危險過程和採用有效監控來加強對希望利用資料庫體系結構缺陷的攻擊者的防禦。這將減少停機時間並保證合規性。最重要的是,您還應該學習如何從勒索軟體中恢復,因為它可以幫助確保業務連續性,以應對不斷增長的威脅,例如FreeWorld勒索軟體。
