2023年9月3日消息,安全性较差的 Microsoft SQL 服务器已成为各种网络犯罪团体(包括勒索软件团伙)的目标。在最近一次名为 DB#JAMMER 的攻击活动中,黑客使用暴力攻击来破坏 MSSQL 服务器并部署 Cobalt Strike 和名为 FreeWorld 的 Mimic 勒索软件变种。
安全公司 Securonix 的研究人员在一份新报告中表示:“此次活动的亮点之一是攻击者的工具基础设施和有效负载的使用方式。” “其中一些工具包括枚举软件、RAT(远程访问木马)有效负载、凭证利用和窃取软件,最后是勒索软件有效负载。”
攻击者使用暴力技术来猜测目标 MSSQL 服务器的凭据,但尚不清楚这是否涉及基于字典的尝试或密码喷射尝试。后者通常涉及从其他数据库泄露中获得的用户名和密码组合。
初始访问后,攻击者通过枚举所有有权访问数据库的用户来探测数据库,并检查是否启用了名为 xp_cmdshell 的功能。此 Transact-SQL 语句允许数据库用户在 Windows 上执行 shell 命令并以文本形式返回输出。攻击者广泛利用xp_cmdshell,首先通过调用wmic.exe、net.exe、ipconfig.exe等Windows工具来收集有关系统和网络环境的信息,然后对Windows帐户和注册表进行修改。
Securonix 研究人员表示:“在受害者主机上创建了三个新用户,包括 windows、adminv$ 和 mediaadmin$。” “每个用户都被添加到[组]‘远程桌面用户’和‘管理员’。有趣的是,攻击者试图运行一条大线路,这将创建用户并修改组成员身份。然而,为了考虑不同语言的群体,执行了该命令的几种变体:英语、德语、波兰语、西班牙语和加泰罗尼亚语。”
对新用户进行了其他修改,以便他们的密码和登录会话永远不会过期。注册表更改也很广泛,包括启用远程桌面协议 (RDP) 服务、禁用用户访问控制限制以及从本地登录屏幕隐藏远程登录的用户。
所有这一切的目的是为攻击者提供通过比 xp_cmdshell 数据库命令更可靠且更难以检测的方法远程控制系统的能力。然而,他们遇到的一个问题是传入的 RDP 连接被网络防火墙阻止,因此他们尝试部署一种名为 Ngrok 的反向代理和隧道解决方案。
攻击者还在他们控制下的服务器上设置了远程 SMB 共享,以在本地挂载包含许多工具和有效负载的目录。其中包括保存为 srv.exe 的 Cobalt Strike 命令和控制代理以及 AnyDesk 远程桌面软件的一个版本。
文章来源:https://www.cisoadvisor.com.br/hackers-invadem-servidores-sql-para-implantar-ransomware/
