国产人人操人人干,国产麻豆悠悠黑丝国产在线,玖玖资源站在线观看无码

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

保護力度不夠的MicrosoftSQL數(shù)據(jù)庫正成為黑客攻擊的目標

日前有數(shù)據(jù)顯示，黑客正在易受攻擊的Microsoft SQL數(shù)據(jù)庫中安裝Cobalt Strike信標，以此獲得在目標網(wǎng)絡(luò)中的立足點。

這種新型攻擊模式首先是由綜合網(wǎng)絡(luò)安全提供商安博士(Ahn Lab)的ASEC研究人員發(fā)現(xiàn)的，黑客在易受攻擊的微軟SQL服務(wù)器上部署Cobalt Strike信標，以實現(xiàn)對目標網(wǎng)絡(luò)的初始訪問，并部署惡意負載。安全性較差的Microsoft SQL數(shù)據(jù)庫是他們首要攻擊的目標。

攻擊鏈啟動后，攻擊者會掃描TCP端口為1433的MS-SQL服務(wù)器，然后進行蠻力攻擊和字典式攻擊，以試圖破解密碼。

可以觀察到，攻擊者部署了可以訪問服務(wù)器的加密貨幣挖礦工具，如Lemon Duck、KingMiner和Vollgar。攻擊者通過安裝開發(fā)工具Cobalt Strike來實現(xiàn)持久性，并使用其進行橫向移動。

如果攻擊者通過這些進程成功登錄admin帳戶，他們會使用xp_cmdshell命令在受感染的系統(tǒng)中執(zhí)行。安博士最新發(fā)表的ASEC分析報告寫道：“最近發(fā)現(xiàn)的Cobalt Strike是通過如下所示的MS-SQL進程通過cmd.exe和powershell.exe下載的。”

“Cobalt Strike信標被植入到合法的Windows wwanmm.dll進程中，等待攻擊者發(fā)出命令。在MSBuild.exe中執(zhí)行的Cobalt Strike有一個額外的設(shè)置選項可以繞過安全產(chǎn)品的檢測，在這里，它加載普通的dll wwanmm.dll，然后在dll的內(nèi)存區(qū)域中寫入并執(zhí)行一個信標?！眻蟾胬^續(xù)分析到?！耙驗榻邮展粽呙畈?zhí)行惡意行為的信標并不存在于可疑的內(nèi)存區(qū)域，而是在正常的模塊wwanmm.dll中運行，所以它可以繞過基于內(nèi)存的檢測。”

目前尚不清楚攻擊者如何控制MS-SQL服務(wù)器并安裝惡意軟件，但專家認為目標系統(tǒng)對賬戶憑證進行不當管理的情況是一定存在的。

此外，安博士也同時發(fā)布了對這些攻擊的妥協(xié)指標，包括下載url、信標的MD5哈希值和C2服務(wù)器url等。

參考來源

https://www.bleepingcomputer.com/news/security/vulnerable-microsoft-sql-servers-targeted-with-cobalt-strike/

當前文章：保護力度不夠的MicrosoftSQL數(shù)據(jù)庫正成為黑客攻擊的目標
本文網(wǎng)址：http://www.5511xx.com/article/dhesdsp.html

新聞中心

其他資訊