一.摘要
目前勒索軟件針對(duì)Microsoft SQL服務(wù)器主要通過暴力破解MS SQL服務(wù)器獲得最初對(duì)受害主機(jī)的訪問����,使用它來(lái)枚舉數(shù)據(jù)庫(kù),并利用xp_cmdshell配置選項(xiàng)來(lái)運(yùn)行shell命令和進(jìn)行偵查�����,同時(shí)還會(huì)削弱防火墻的功能并建立持久性�,同時(shí)勒索軟件還會(huì)連接到遠(yuǎn)程SMB共享以在受害系統(tǒng)之間傳輸文件和安裝惡意工具。
二.Microsoft SQL服務(wù)器常見漏洞
Microsoft SQL是美國(guó)微軟公司推出的關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng)�,該數(shù)據(jù)庫(kù)有以下一些常被勒索軟件利用的漏洞:
弱口令漏洞 - 很多組織使用弱密碼或保留默認(rèn)密碼��,讓攻擊者輕松猜解獲取訪問�����。
SQL注入漏洞 - 可通過構(gòu)造特殊SQL語(yǔ)句注入到輸入?yún)?shù)���,執(zhí)行非授權(quán)的查詢或獲取shell�����。
遠(yuǎn)程代碼執(zhí)行漏洞 - 如CVE-2022-21907��、CVE-2020-1048,允許遠(yuǎn)程未認(rèn)證攻擊者執(zhí)行任意代碼���。
服務(wù)提權(quán)漏洞 - 如CVE-2020-1533��,可讓低權(quán)限SQL服務(wù)帳戶獲得系統(tǒng)級(jí)權(quán)限�����。
未正確配置實(shí)例漏洞 - 公網(wǎng)可以直接訪問未正確限制端口和訪問控制的SQL實(shí)例���。
緩沖區(qū)溢出漏洞 - 可用于獲得服務(wù)執(zhí)行權(quán)限或繞過登錄認(rèn)證。
組件漏洞 - 如搜索服務(wù)��、SSRS報(bào)表服務(wù)器等組件的遠(yuǎn)程代碼執(zhí)行漏洞���。
序列化/反序列化漏洞 - 可通過特制的序列化對(duì)象利用�。
目錄遍歷漏洞 - 結(jié)合文件寫入可實(shí)現(xiàn)任意代碼執(zhí)行���。
加密算法弱點(diǎn) - 利用加密或散列算法的弱點(diǎn)實(shí)現(xiàn)密碼破解�。
三.勒索軟件攻擊手段
目前勒索軟件攻擊Microsoft SQL服務(wù)器的一些常見技術(shù)手段包括:
利用弱口令或默認(rèn)配置來(lái)獲取入侵�����。很多組織沒有更改默認(rèn)的sql用戶口令,這給攻擊者可乘之機(jī)�����。
利用已知的SQL注入漏洞����。通過構(gòu)造特殊的SQL語(yǔ)句注入到網(wǎng)頁(yè)參數(shù),可以獲取數(shù)據(jù)庫(kù)訪問權(quán)限����。
通過暴力破解獲取訪問權(quán)限。利用密碼破解工具大量嘗試不同密碼���,獲取sql登錄權(quán)限。
利用漏洞執(zhí)行代碼����。例如CVE-2022-21907遠(yuǎn)程代碼執(zhí)行漏洞,允許未經(jīng)身份驗(yàn)證的攻擊者以高權(quán)限執(zhí)行代碼���。
利用釣魚郵件傳播木馬�����。包含惡意宏或腳本的Office文檔��,被用戶打開后�����,可在系統(tǒng)后臺(tái)安裝勒索軟件�。
水平移動(dòng),從已入侵的系統(tǒng)獲取SQL服務(wù)權(quán)限��。
刪除或加密備份����,破壞數(shù)據(jù)恢復(fù)能力。
加密數(shù)據(jù)庫(kù)文件�,使數(shù)據(jù)不可讀取。
修改數(shù)據(jù)��,插入勒索信息��,敲詐支付贖金��。
利用數(shù)據(jù)庫(kù)連接漏洞��,從互聯(lián)網(wǎng)直接訪問數(shù)據(jù)庫(kù)服務(wù)器。
勒索軟件在攻擊過程中會(huì)利用自身的攻擊載荷展開攻擊, 其攻擊載荷主要包括:
加密程序:用于加密受害者重要數(shù)據(jù)的算法���,是勒索軟件的核心組件���,如AES、RSA等加密算法�。
勒索信:包含支付贖金要求的文本文件,通常放在每個(gè)加密文件的同目錄下��。
勒索說(shuō)明:詳細(xì)說(shuō)明勒索過程的文本文件或網(wǎng)頁(yè)���,包括支付流程�����、恢復(fù)說(shuō)明等�。
恢復(fù)密鑰生成器:如果支付贖金��,用于解密文件恢復(fù)數(shù)據(jù)的密鑰生成工具�����。
系統(tǒng)監(jiān)控組件:監(jiān)視受害系統(tǒng)進(jìn)程����、網(wǎng)絡(luò)連接、防病毒軟件等�����,幫助勒索軟件避開檢測(cè)�。
自刪除組件:完成加密后,刪除勒索軟件自身�,試圖摧毀證據(jù)。
網(wǎng)絡(luò)傳播模塊:利用漏洞進(jìn)行橫向移動(dòng)�����,感染更多系統(tǒng)�。
DDoS模塊:用于發(fā)動(dòng)分布式拒絕服務(wù)攻擊,增加敲詐壓力�����。
數(shù)據(jù)竊取模塊:竊取敏感數(shù)據(jù)�����,以進(jìn)行雙重勒索。
后門程序:維持對(duì)系統(tǒng)的長(zhǎng)期控制訪問�����。
該文章在 2023/10/30 11:07:08 編輯過
400 186 1886
