1. 首页
  2. 网络安全技术

针对SQLServer数据库的远程攻击

全世界的大小公司都使用Microsoft SQL服务器进行数据库管理。虽然很流行,但是保护力度不够,该DBMS成为黑客的目标。基于Microsoft SQL服务器恶意job的远程攻击已经出现一段时间了,仍然被广泛用于访问工作站。

下图是2019年1月到7月针对Microsoft SQL Server的远程攻击地理分布图,其中攻击主要位于越南(约占16%)、俄罗斯(约占12%)、印度(约占7%)、中国(约占6%)、土耳其(约占5%)和巴西(约占5%)。

针对SQLServer数据库的远程攻击

攻击描述

Microsoft SQL服务器攻击规模很大,而且没有什么特定的目标:攻击者会扫描子网来搜索使用弱口令的服务器。攻击首先是远程检查系统中是否安装了MS SQL服务器;然后继续暴力破解账号密码来访问系统。除了暴力破解密码外,攻击者还会通过用户帐户token实现授权。

针对SQLServer数据库的远程攻击

SQL服务器授权

渗透测试完成后,攻击者就会修改服务器配置来访问命令行。完成后,就可以使用为SQL服务器创建的job来使恶意软件来目标系统中是安全的。

Job示例

Job是SQL服务器代理执行的命令行序列。可能会入侵大量的动作,包括启动SQL事务、命令行应用、Microsoft ActiveX脚本、Integration服务包、分析服务命令和查询,以及PowerShell脚本。

Job中包含多个步骤,代码中含有特定间隔中要执行的代码,允许攻击者将恶意文件传播到目标计算机中之后在删除。

下面是一些恶意查询的例子:

用标准ftp.exe工具安装恶意软件下载job:

针对SQLServer数据库的远程攻击

用javascript从远处源下载恶意软件:

针对SQLServer数据库的远程攻击

通过下面的执行过程将恶意软件写入系统中:

针对SQLServer数据库的远程攻击

研究人员分析了通过恶意job传播到被黑机器的payload,发现其中大多数是加密货币挖矿机和远程访问木马。还有密码获取和权限提升工具。需要注意到是,payload的选择是根据攻击者的目标和功能决定的。

为了防止此类攻击,研究人员建议用户对SQL服务器账号使用鲁棒的、防暴力破解的强口令。还要检查代理SQL服务器的第三方job。

文章来源:【安全时代】 原文链接:https://www.agesec.com/article/7197.html

安全时代全部内容仅适用于网络安全技术爱好者学习研究,学习中请遵循国家相关法律法规。

安全时代全部数据来源互联网,不代表安全时代立场,如侵犯您权益可邮箱联系我们,详情:版权纠纷

发表评论

电子邮件地址不会被公开。 必填项已用*标注