黑客使用 Cobalt Strike 控制未修复漏洞的 SQL Server 服务器

黑客使用 Cobalt Strike 控制未修复漏洞的 SQL Server 服务器

最近的网络安全研究发现,作为在受感染主机上部署 Cobalt Strike 对手模拟工具的新活动的一部分,黑客正在瞄准易受攻击的面向公网的 Microsoft SQL (MS SQL) 服务器。针对 MS SQL 服务器的攻击包括对其漏洞未修补的环境的攻击、暴力破解和针对管理不善的服务器的字典攻击。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理,Cobalt Strike 是一个商业的、功能齐全的渗透测试框架,它允许攻击者在受害机器上部署一个名为 Beacon 的代理,从而授予操作员对系统的远程访问权限。尽管被称为红队威胁模拟平台,但该软件的破解版本已被广泛的黑客在真实世界积极使用。

Hackers Backdoor Unpatched Microsoft SQL数据库服务器与Cobalt罢工

安全研究人员观察到的入侵涉及身份不明的攻击者扫描端口 1433 以检查暴露的 MS SQL 服务器以对系统管理员帐户(即sa帐户)执行暴力或字典攻击以尝试登录。

这并不是说无法通过公网访问的服务器就不会受到攻击,因为LemonDuck 恶意软件背后的黑客会扫描同一端口以在网络中横向移动。

安全研究人员表示,管理管理员帐户凭据使其容易受到上述暴力破解和字典攻击,或者未能定期更改凭据可能会使 MS-SQL 服务器成为攻击者的主要目标。

Hackers Backdoor Unpatched Microsoft SQL数据库服务器与Cobalt罢工

在成功站稳脚跟后,攻击的下一阶段将通过 MS SQL 服务器的 sqlservr.exe 进程生成一个 Windows 命令外壳,以将包含编码 Cobalt Strike 二进制文件的下一阶段有效载荷下载到系统上。

攻击最终以恶意软件解码 Cobalt Strike 可执行文件而告终,随后将其注入合法的 Microsoft Build Engine ( MSBuild ) 进程,该进程之前已被恶意行为者滥用,以在目标 Windows 上无文件传递远程访问木马和密码窃取恶意软件系统。

此外,在 MSBuild.exe 中执行的 Cobalt Strike 带有额外的配置来逃避安全软件的检测。它通过加载 wwanmm.dll 来实现这一点,这是一个用于 WWAN 媒体管理器的 Windows 库,然后在 DLL 的内存区域中编写和运行 Beacon。

安全研究人员指出,由于接收攻击者命令并执行恶意行为的 Beacon 不存在于可疑内存区域,而是在正常模块 wwanmm.dll 中运行,因此它可以绕过基于内存的检测。

 

黑客使用 Cobalt Strike 控制未修复漏洞的 SQL Server 服务器

极牛网精选文章《黑客使用 Cobalt Strike 控制未修复漏洞的 SQL Server 服务器》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18241.html

(25)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年2月19日 上午11:22
下一篇 2022年2月21日 上午11:01

相关推荐

发表回复

登录后才能评论