【安全资讯】攻击者针对Microsoft SQL服务器部署Cobalt Strike

引言

MS-SQL服务器是Windows环境下典型的数据库服务器，此前一直是黑客攻击的目标。针对MS SQL服务器的攻击包括对其未修补漏洞的攻击、暴力破解和对管理不善的服务器的字典攻击。近日，研究人员发现，黑客正以面向公网的Microsoft SQL服务器为目标，部署Cobalt Strike工具。

简况

Cobalt Strike是一个商业的、功能全面的渗透测试框架，允许攻击者在受害机器上部署一个名为Beacon的代理，从而获得对系统的远程访问权限。Cobalt Strike虽然被称为红队威胁模拟平台，但该软件的破解版本已被大量黑客利用。

目前观察到的入侵涉及身份不明的攻击者扫描端口1433，以检查暴露的MS SQL服务器，对系统管理员帐户执行暴力破解或字典攻击以尝试登录。一旦获得管理员帐户的访问权限，攻击者就会立即安装Lemon Duck、KingMiner和Vollgar等恶意矿工软件。LemonDuck使用的字典攻击密码列表如下图：

在成功获得立足点后，攻击的下一阶段将通过 MS SQL 服务器的 sqlservr.exe 进程生成一个 Windows 命令外壳，以将包含编码 Cobalt Strike 二进制文件的下一阶段有效载荷下载到系统上。

最后，恶意软件解码 Cobalt Strike 可执行文件，随后将其注入合法的 Microsoft Build Engine ( MSBuild ) 进程，该进程被攻击者滥用，以在目标 Windows上无文件传递远程访问木马和密码窃取恶意软件。在MSBuild.exe 中执行的 Cobalt Strike 带有额外的配置来规避安全软件的检测。

总结

数据显示，过去一个月中，Cobalt Strike的下载 URL 和 C2 服务器 URL 相似，似乎都指向同一个攻击者。为了保护 MS-SQL 服务器免受此类攻击，研究人员建议组织使用强管理员密码，使用防火墙，监控可疑操作，并应用可用的安全更新。