一.摘要
目前勒索軟件針對Microsoft SQL服務器主要通過暴力破解MS SQL服務器獲得最初對受害主機的訪問,使用它來枚舉數(shù)據(jù)庫,并利用xp_cmdshell配置選項來運行shell命令和進行偵查,同時還會削弱防火墻的功能并建立持久性,同時勒索軟件還會連接到遠程SMB共享以在受害系統(tǒng)之間傳輸文件和安裝惡意工具。
二.Microsoft SQL服務器常見漏洞
Microsoft SQL是美國微軟公司推出的關系型數(shù)據(jù)庫管理系統(tǒng),該數(shù)據(jù)庫有以下一些常被勒索軟件利用的漏洞:
弱口令漏洞 - 很多組織使用弱密碼或保留默認密碼,讓攻擊者輕松猜解獲取訪問。
SQL注入漏洞 - 可通過構造特殊SQL語句注入到輸入?yún)?shù),執(zhí)行非授權的查詢或獲取shell。
遠程代碼執(zhí)行漏洞 - 如CVE-2022-21907、CVE-2020-1048,允許遠程未認證攻擊者執(zhí)行任意代碼。
服務提權漏洞 - 如CVE-2020-1533,可讓低權限SQL服務帳戶獲得系統(tǒng)級權限。
未正確配置實例漏洞 - 公網(wǎng)可以直接訪問未正確限制端口和訪問控制的SQL實例。
緩沖區(qū)溢出漏洞 - 可用于獲得服務執(zhí)行權限或繞過登錄認證。
組件漏洞 - 如搜索服務、SSRS報表服務器等組件的遠程代碼執(zhí)行漏洞。
序列化/反序列化漏洞 - 可通過特制的序列化對象利用。
目錄遍歷漏洞 - 結(jié)合文件寫入可實現(xiàn)任意代碼執(zhí)行。
加密算法弱點 - 利用加密或散列算法的弱點實現(xiàn)密碼破解。
三.勒索軟件攻擊手段
目前勒索軟件攻擊Microsoft SQL服務器的一些常見技術手段包括:
利用弱口令或默認配置來獲取入侵。很多組織沒有更改默認的sql用戶口令,這給攻擊者可乘之機。
利用已知的SQL注入漏洞。通過構造特殊的SQL語句注入到網(wǎng)頁參數(shù),可以獲取數(shù)據(jù)庫訪問權限。
通過暴力破解獲取訪問權限。利用密碼破解工具大量嘗試不同密碼,獲取sql登錄權限。
利用漏洞執(zhí)行代碼。例如CVE-2022-21907遠程代碼執(zhí)行漏洞,允許未經(jīng)身份驗證的攻擊者以高權限執(zhí)行代碼。
利用釣魚郵件傳播木馬。包含惡意宏或腳本的Office文檔,被用戶打開后,可在系統(tǒng)后臺安裝勒索軟件。
水平移動,從已入侵的系統(tǒng)獲取SQL服務權限。
刪除或加密備份,破壞數(shù)據(jù)恢復能力。
加密數(shù)據(jù)庫文件,使數(shù)據(jù)不可讀取。
修改數(shù)據(jù),插入勒索信息,敲詐支付贖金。
利用數(shù)據(jù)庫連接漏洞,從互聯(lián)網(wǎng)直接訪問數(shù)據(jù)庫服務器。
勒索軟件在攻擊過程中會利用自身的攻擊載荷展開攻擊, 其攻擊載荷主要包括:
加密程序:用于加密受害者重要數(shù)據(jù)的算法,是勒索軟件的核心組件,如AES、RSA等加密算法。
勒索信:包含支付贖金要求的文本文件,通常放在每個加密文件的同目錄下。
勒索說明:詳細說明勒索過程的文本文件或網(wǎng)頁,包括支付流程、恢復說明等。
恢復密鑰生成器:如果支付贖金,用于解密文件恢復數(shù)據(jù)的密鑰生成工具。
系統(tǒng)監(jiān)控組件:監(jiān)視受害系統(tǒng)進程、網(wǎng)絡連接、防病毒軟件等,幫助勒索軟件避開檢測。
自刪除組件:完成加密后,刪除勒索軟件自身,試圖摧毀證據(jù)。
網(wǎng)絡傳播模塊:利用漏洞進行橫向移動,感染更多系統(tǒng)。
DDoS模塊:用于發(fā)動分布式拒絕服務攻擊,增加敲詐壓力。
數(shù)據(jù)竊取模塊:竊取敏感數(shù)據(jù),以進行雙重勒索。
后門程序:維持對系統(tǒng)的長期控制訪問。
該文章在 2023/10/30 11:07:08 編輯過
400 186 1886
