首页 > 安全 > 正文

威胁演员目标受保护的Microsoft SQL Server安装

最后更新 :2022.02.24

威胁演员在易受攻击的Microsoft SQL服务器上安装Cobalt Strike信标,以在目标网络中实现立足点。

Ahn Labs ASEC的研究人员发现了一系列新的攻击浪潮,在易受攻击的Microsoft SQL Server安装上部署了Cobalt Strike Beacons实现对目标网络的初始访问并部署恶意有效载荷。

活动背后的威胁演员是针对在线公开的威胁性的Microsoft SQL Server安装。

攻击链启动威胁演员扫描具有打开TCP端口1433的MS-SQL服务器。然后攻击者在尝试破解密码时进行蛮州和词典攻击。

在获得对服务器的访问权限上,已观察攻击者部署加密货币矿工,例如柠檬鸭,  Kingminer和Vollgar。攻击者通过安装挖掘后工具Cobalt Strike并使用它来实现持久性R横向运动。

如果攻击者成功通过这些进程登录管理员帐户,则它们使用包括XP_CMDShell命令的各种方法来执行受感染系统中的命令。读取AHN Labs ASEC发布的分析。最近被发现的钴罢工通过CMD.exe和PowerShell.exe下载了MS-SQL进程,如下所示。

钴罢工灯被注入合法的WANDWWANM.dll过程,它等待攻击者的命令。

在MSBuild.exe中执行的钴攻击有一个额外的设置选项来绕过安全产品的检测,其中加载正常的dll wwanmm.dll,然后写入并在DLL的内存区域中执行灯泡。继续分析。作为接收攻击者命令并执行恶意行为的信标,在可疑存储区中不存在,而是在普通模块W中运行在受到影响MS-SQL

上安装恶意软件

虽然攻击者主导MS-SQL并安装恶意软件的方法不确定,但专家认为目标系统是否已不恰当地管理帐户凭据。

Ahnlabs发布了妥协指标,用于这些攻击,包括下载URL,BEACONS的MD5散列以及C2服务器URL。

- END -

看更多