根据最近的数据,黑客正在易受攻击的MicrosoftSQL数据库中安装CobaltStrike信标,作为在目标网络中立足的一种方式。在这种由综合网络安全提供商AhnLab的ASEC研究人员首次发现的新攻击模式中,黑客在易受攻击的MicrosoftSQL服务器上部署CobaltStrike信标,以获得对目标网络的初始访问权限,并部署恶意负载。安全性差的MicrosoftSQL数据库是他们的主要目标。攻击链启动后,攻击者扫描TCP1433端口的MS-SQL服务器,然后进行暴力破解和字典攻击,试图破解密码。据观察,攻击者部署了可以访问服务器的加密货币挖矿工具,例如LemonDuck、KingMiner和Vollgar。攻击者通过安装开发工具CobaltStrike并利用其进行横向移动来实现持久化。如果攻击者通过这些过程成功登录到admin账户,他们就会使用xp_cmdshell命令在受感染的系统上执行。“最近发现的CobaltStrike是通过如下所示的MS-SQL过程通过cmd.exe和powershell.exe下载的,”An博士最新发表的ASEC分析中写道。“CobaltStrike信标被植入合法的Windowswwanmm.dll进程中,等待攻击者发出命令。在MSBuild.exe中执行的CobaltStrike有一个额外的设置选项来绕过安全产品的检测。在这里,它加载了正常的dllwwanmm.dll,然后在dll的内存区域写入并执行了一个beacon。”报道继续分析。“因为接收到攻击者命令并执行恶意行为的beacon确实不存在于可疑内存区域,而是运行在正常模块wwanmm.dll中,可以绕过基于内存的检测。并安装恶意软件,但专家认为目标系统对帐户凭据的管理不善是理所当然的。此外,安博士还发布了这些攻击的妥协指标,包括下载网址、信标的MD5哈希值和C2服务器网址.参考来源https://www.bleepingcomputer.com/news/security/vulnerable-microsoft-sql-servers-targeted-with-cobalt-strike/
