黑客使用 Cobalt Strike 控制未修复漏洞的 SQL Server 服务器

最近的网络安全研究发现，作为在受感染主机上部署 Cobalt Strike 对手模拟工具的新活动的一部分，黑客正在瞄准易受攻击的面向公网的 Microsoft SQL (MS SQL) 服务器。针对 MS SQL 服务器的攻击包括对其漏洞未修补的环境的攻击、暴力破解和针对管理不善的服务器的字典攻击。

根据网络安全行业门户「极牛网」GEEKNB.COM的梳理，Cobalt Strike 是一个商业的、功能齐全的渗透测试框架，它允许攻击者在受害机器上部署一个名为 Beacon 的代理，从而授予操作员对系统的远程访问权限。尽管被称为红队威胁模拟平台，但该软件的破解版本已被广泛的黑客在真实世界积极使用。

安全研究人员观察到的入侵涉及身份不明的攻击者扫描端口 1433 以检查暴露的 MS SQL 服务器以对系统管理员帐户（即sa帐户）执行暴力或字典攻击以尝试登录。

这并不是说无法通过公网访问的服务器就不会受到攻击，因为LemonDuck 恶意软件背后的黑客会扫描同一端口以在网络中横向移动。

安全研究人员表示，管理管理员帐户凭据使其容易受到上述暴力破解和字典攻击，或者未能定期更改凭据可能会使 MS-SQL 服务器成为攻击者的主要目标。

在成功站稳脚跟后，攻击的下一阶段将通过 MS SQL 服务器的 sqlservr.exe 进程生成一个 Windows 命令外壳，以将包含编码 Cobalt Strike 二进制文件的下一阶段有效载荷下载到系统上。

攻击最终以恶意软件解码 Cobalt Strike 可执行文件而告终，随后将其注入合法的 Microsoft Build Engine ( MSBuild ) 进程，该进程之前已被恶意行为者滥用，以在目标 Windows 上无文件传递远程访问木马和密码窃取恶意软件系统。

此外，在 MSBuild.exe 中执行的 Cobalt Strike 带有额外的配置来逃避安全软件的检测。它通过加载 wwanmm.dll 来实现这一点，这是一个用于 WWAN 媒体管理器的 Windows 库，然后在 DLL 的内存区域中编写和运行 Beacon。

安全研究人员指出，由于接收攻击者命令并执行恶意行为的 Beacon 不存在于可疑内存区域，而是在正常模块 wwanmm.dll 中运行，因此它可以绕过基于内存的检测。