一.摘要
目前勒索軟件針對(duì)Microsoft SQL服務(wù)器主要通過暴力破解MS SQL服務(wù)器獲得最初對(duì)受害主機(jī)的訪問,使用它來枚舉數(shù)據(jù)庫(kù),并利用xp_cmdshell配置選項(xiàng)來運(yùn)行shell命令和進(jìn)行偵查,同時(shí)還會(huì)削弱防火墻的功能并建立持久性,同時(shí)勒索軟件還會(huì)連接到遠(yuǎn)程SMB共享以在受害系統(tǒng)之間傳輸文件和安裝惡意工具。
二.Microsoft SQL服務(wù)器常見漏洞
Microsoft SQL是美國(guó)微軟公司推出的關(guān)系型數(shù)據(jù)庫(kù)管理系統(tǒng),該數(shù)據(jù)庫(kù)有以下一些常被勒索軟件利用的漏洞:
弱口令漏洞 - 很多組織使用弱密碼或保留默認(rèn)密碼,讓攻擊者輕松猜解獲取訪問。
SQL注入漏洞 - 可通過構(gòu)造特殊SQL語(yǔ)句注入到輸入?yún)?shù),執(zhí)行非授權(quán)的查詢或獲取shell。
遠(yuǎn)程代碼執(zhí)行漏洞 - 如CVE-2022-21907、CVE-2020-1048,允許遠(yuǎn)程未認(rèn)證攻擊者執(zhí)行任意代碼。
服務(wù)提權(quán)漏洞 - 如CVE-2020-1533,可讓低權(quán)限SQL服務(wù)帳戶獲得系統(tǒng)級(jí)權(quán)限。
未正確配置實(shí)例漏洞 - 公網(wǎng)可以直接訪問未正確限制端口和訪問控制的SQL實(shí)例。
緩沖區(qū)溢出漏洞 - 可用于獲得服務(wù)執(zhí)行權(quán)限或繞過登錄認(rèn)證。
組件漏洞 - 如搜索服務(wù)、SSRS報(bào)表服務(wù)器等組件的遠(yuǎn)程代碼執(zhí)行漏洞。
序列化/反序列化漏洞 - 可通過特制的序列化對(duì)象利用。
目錄遍歷漏洞 - 結(jié)合文件寫入可實(shí)現(xiàn)任意代碼執(zhí)行。
加密算法弱點(diǎn) - 利用加密或散列算法的弱點(diǎn)實(shí)現(xiàn)密碼破解。
三.勒索軟件攻擊手段
目前勒索軟件攻擊Microsoft SQL服務(wù)器的一些常見技術(shù)手段包括:
利用弱口令或默認(rèn)配置來獲取入侵。很多組織沒有更改默認(rèn)的sql用戶口令,這給攻擊者可乘之機(jī)。
利用已知的SQL注入漏洞。通過構(gòu)造特殊的SQL語(yǔ)句注入到網(wǎng)頁(yè)參數(shù),可以獲取數(shù)據(jù)庫(kù)訪問權(quán)限。
通過暴力破解獲取訪問權(quán)限。利用密碼破解工具大量嘗試不同密碼,獲取sql登錄權(quán)限。
利用漏洞執(zhí)行代碼。例如CVE-2022-21907遠(yuǎn)程代碼執(zhí)行漏洞,允許未經(jīng)身份驗(yàn)證的攻擊者以高權(quán)限執(zhí)行代碼。
利用釣魚郵件傳播木馬。包含惡意宏或腳本的Office文檔,被用戶打開后,可在系統(tǒng)后臺(tái)安裝勒索軟件。
水平移動(dòng),從已入侵的系統(tǒng)獲取SQL服務(wù)權(quán)限。
刪除或加密備份,破壞數(shù)據(jù)恢復(fù)能力。
加密數(shù)據(jù)庫(kù)文件,使數(shù)據(jù)不可讀取。
修改數(shù)據(jù),插入勒索信息,敲詐支付贖金。
利用數(shù)據(jù)庫(kù)連接漏洞,從互聯(lián)網(wǎng)直接訪問數(shù)據(jù)庫(kù)服務(wù)器。
勒索軟件在攻擊過程中會(huì)利用自身的攻擊載荷展開攻擊, 其攻擊載荷主要包括:
加密程序:用于加密受害者重要數(shù)據(jù)的算法,是勒索軟件的核心組件,如AES、RSA等加密算法。
勒索信:包含支付贖金要求的文本文件,通常放在每個(gè)加密文件的同目錄下。
勒索說明:詳細(xì)說明勒索過程的文本文件或網(wǎng)頁(yè),包括支付流程、恢復(fù)說明等。
恢復(fù)密鑰生成器:如果支付贖金,用于解密文件恢復(fù)數(shù)據(jù)的密鑰生成工具。
系統(tǒng)監(jiān)控組件:監(jiān)視受害系統(tǒng)進(jìn)程、網(wǎng)絡(luò)連接、防病毒軟件等,幫助勒索軟件避開檢測(cè)。
自刪除組件:完成加密后,刪除勒索軟件自身,試圖摧毀證據(jù)。
網(wǎng)絡(luò)傳播模塊:利用漏洞進(jìn)行橫向移動(dòng),感染更多系統(tǒng)。
DDoS模塊:用于發(fā)動(dòng)分布式拒絕服務(wù)攻擊,增加敲詐壓力。
數(shù)據(jù)竊取模塊:竊取敏感數(shù)據(jù),以進(jìn)行雙重勒索。
后門程序:維持對(duì)系統(tǒng)的長(zhǎng)期控制訪問。
該文章在 2023/10/30 11:07:08 編輯過
400 186 1886
