【安全资讯】攻击者针对Microsoft SQL服务器部署Cobalt Strike

猎影实验室 2022-02-23 06:59:21 3102人浏览

引言

MS-SQL服务器是Windows环境下典型的数据库服务器,此前一直是黑客攻击的目标。针对MS SQL服务器的攻击包括对其未修补漏洞的攻击、暴力破解和对管理不善的服务器的字典攻击。近日,研究人员发现,黑客正以面向公网的Microsoft SQL服务器为目标,部署Cobalt Strike工具。

 

 

简况

Cobalt Strike是一个商业的、功能全面的渗透测试框架,允许攻击者在受害机器上部署一个名为Beacon的代理,从而获得对系统的远程访问权限。Cobalt Strike虽然被称为红队威胁模拟平台,但该软件的破解版本已被大量黑客利用。

 

目前观察到的入侵涉及身份不明的攻击者扫描端口1433,以检查暴露的MS SQL服务器,对系统管理员帐户执行暴力破解或字典攻击以尝试登录。一旦获得管理员帐户的访问权限,攻击者就会立即安装Lemon Duck、KingMiner和Vollgar等恶意矿工软件。LemonDuck使用的字典攻击密码列表如下图:

 

在成功获得立足点后,攻击的下一阶段将通过 MS SQL 服务器的 sqlservr.exe 进程生成一个 Windows 命令外壳,以将包含编码 Cobalt Strike 二进制文件的下一阶段有效载荷下载到系统上。

 

最后,恶意软件解码 Cobalt Strike 可执行文件,随后将其注入合法的 Microsoft Build Engine ( MSBuild ) 进程,该进程被攻击者滥用,以在目标 Windows上无文件传递远程访问木马和密码窃取恶意软件。在MSBuild.exe 中执行的 Cobalt Strike 带有额外的配置来规避安全软件的检测。

 

总结

数据显示,过去一个月中,Cobalt Strike的下载 URL 和 C2 服务器 URL 相似,似乎都指向同一个攻击者。为了保护 MS-SQL 服务器免受此类攻击,研究人员建议组织使用强管理员密码,使用防火墙,监控可疑操作,并应用可用的安全更新。

失陷指标(IOC)20
Cobalt Strike 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。