据报道,微软正在向MicrosoftSQLServer(MSSQL)数据库服务器的用户发出安全警告,提醒攻击者使用弱口令对暴露在服务器上的MSSQL发起暴力攻击。网络。这不是MSSQL服务器第一次成为此类攻击的目标,但微软安全情报团队透露,最近观察到的这一活动背后的攻击者使用合法的sqlps.exe工具作为LOLBin(离地攻击,活-off-the-landbinary)binary来运行侦察命令并将SQL服务启动模式更改为LocalSystem以实现无文件持久性。攻击者还使用sqlps.exe创建新帐户并将其添加到sysadmin角色,使他们能够完全控制SQL服务器,获得执行其他操作的权限,包括部署像加密矿工这样的有效载荷。由于sqlps是MicrosoftSQLServer附带的实用程序,它允许将SQLServercmdlet作为LOLBin加载,从而使攻击者能够执行PowerShell命令,而不必担心防御系统会检测到他们的恶意行为。sqlps也不会留下这些攻击的痕迹,因为使用sqlps是绕过脚本块日志记录的有效方法,这是一种PowerShell功能,否则会将cmdlet操作记录到Windows事件日志中。多年来,MSSQL服务器一直是大规模攻击活动的主要目标之一,每天都有攻击者试图劫持数千台易受攻击的服务器。在近两年的攻击中,攻击者通过暴力破解在2000多台暴露在互联网的服务器中安装了挖矿软件和远程访问木马。在今年3月报道的一次攻击中,攻击者针对MSSQL服务器部署了Gh0stCringe(又名CirenegRAT)远程访问木马。为保护MSSQL服务器免受此类攻击,微软建议为服务器使用不易破解的强密码,并确保服务器始终位于防火墙后面,不会暴露在公共Internet环境中。
