[点晴永久免费OA]勒索病毒软件如何针对Microsoft SQL服务器进行攻击及防范方法
|
admin
2023年10月30日 11:4
本文热度 1040
|
一.摘要
目前勒索软件针对Microsoft SQL服务器主要通过暴力破解MS SQL服务器获得最初对受害主机的访问,使用它来枚举数据库,并利用xp_cmdshell配置选项来运行shell命令和进行侦查,同时还会削弱防火墙的功能并建立持久性,同时勒索软件还会连接到远程SMB共享以在受害系统之间传输文件和安装恶意工具。
二.Microsoft SQL服务器常见漏洞
Microsoft SQL是美国微软公司推出的关系型数据库管理系统,该数据库有以下一些常被勒索软件利用的漏洞:
弱口令漏洞 - 很多组织使用弱密码或保留默认密码,让攻击者轻松猜解获取访问。
SQL注入漏洞 - 可通过构造特殊SQL语句注入到输入参数,执行非授权的查询或获取shell。
远程代码执行漏洞 - 如CVE-2022-21907、CVE-2020-1048,允许远程未认证攻击者执行任意代码。
服务提权漏洞 - 如CVE-2020-1533,可让低权限SQL服务帐户获得系统级权限。
未正确配置实例漏洞 - 公网可以直接访问未正确限制端口和访问控制的SQL实例。
缓冲区溢出漏洞 - 可用于获得服务执行权限或绕过登录认证。
组件漏洞 - 如搜索服务、SSRS报表服务器等组件的远程代码执行漏洞。
序列化/反序列化漏洞 - 可通过特制的序列化对象利用。
目录遍历漏洞 - 结合文件写入可实现任意代码执行。
加密算法弱点 - 利用加密或散列算法的弱点实现密码破解。
三.勒索软件攻击手段
目前勒索软件攻击Microsoft SQL服务器的一些常见技术手段包括:
利用弱口令或默认配置来获取入侵。很多组织没有更改默认的sql用户口令,这给攻击者可乘之机。
利用已知的SQL注入漏洞。通过构造特殊的SQL语句注入到网页参数,可以获取数据库访问权限。
通过暴力破解获取访问权限。利用密码破解工具大量尝试不同密码,获取sql登录权限。
利用漏洞执行代码。例如CVE-2022-21907远程代码执行漏洞,允许未经身份验证的攻击者以高权限执行代码。
利用钓鱼邮件传播木马。包含恶意宏或脚本的Office文档,被用户打开后,可在系统后台安装勒索软件。
水平移动,从已入侵的系统获取SQL服务权限。
删除或加密备份,破坏数据恢复能力。
加密数据库文件,使数据不可读取。
修改数据,插入勒索信息,敲诈支付赎金。
利用数据库连接漏洞,从互联网直接访问数据库服务器。
勒索软件在攻击过程中会利用自身的攻击载荷展开攻击, 其攻击载荷主要包括:
加密程序:用于加密受害者重要数据的算法,是勒索软件的核心组件,如AES、RSA等加密算法。
勒索信:包含支付赎金要求的文本文件,通常放在每个加密文件的同目录下。
勒索说明:详细说明勒索过程的文本文件或网页,包括支付流程、恢复说明等。
恢复密钥生成器:如果支付赎金,用于解密文件恢复数据的密钥生成工具。
系统监控组件:监视受害系统进程、网络连接、防病毒软件等,帮助勒索软件避开检测。
自删除组件:完成加密后,删除勒索软件自身,试图摧毁证据。
网络传播模块:利用漏洞进行横向移动,感染更多系统。
DDoS模块:用于发动分布式拒绝服务攻击,增加敲诈压力。
数据窃取模块:窃取敏感数据,以进行双重勒索。
后门程序:维持对系统的长期控制访问。
该文章在 2023/10/30 11:07:08 编辑过