安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
微软:警惕针对 MSSQL 服务器的暴力攻击
2022-05-19 15:41:53 【

据报道称,微软正对使用Microsoft SQL Server (MSSQL) 数据库服务器的用户发出安全警告,警惕攻击者利用弱密码对暴露在网络上的 MSSQL发动暴力攻击。

这已经不是MSSQL服务器第一次成为此类攻击的目标,但微软安全情报团队透露,最近观察到的这次活动背后的攻击者正在使用合法的sqlps.exe工具作为LOLBin(离地攻击,living-off-the-land binary的缩写)二进制文件来运行侦察命令,并将 SQL 服务的启动模式更改为 LocalSystem 来实现无文件持久性。

攻击者还使用 sqlps.exe 创建新帐户,并将其添加到 sysadmin 角色中,使他们能够完全控制 SQL 服务器,获得执行其他操作的权限,包括部署像挖矿木马这样的有效负载。

由于sqlps是Microsoft SQL Server 附带的一个实用程序,它允许将 SQL Server cmdlet 作为 LOLBin 加载,使攻击者能够执行 PowerShell 命令,而不必担心防御系统检测到他们的恶意行为。sqlps还会让这些攻击不留下任何痕迹,因为使用 sqlps 是绕过脚本块日志记录的有效方法,这是一种 PowerShell 功能,否则会将 cmdlet 操作记录到 Windows 事件日志中。

多年来,MSSQL 服务器一直是大规模攻击活动的主要目标之一,攻击者每天都会试图劫持数千台易受攻击的服务器。在近两年的攻击事件中,攻击者通过暴力破解,在2000多台暴露于网络上的服务器中安装了挖矿软件和远程访问木马。在今年3月的攻击报告中,攻击者针对 MSSQL 服务器部署了Gh0stCringe(又名 CirenegRAT)远程访问木马 。

为了保护 MSSQL 服务器免受此类攻击,微软建议对服务器使用不容易被破解的强密码,并确保服务器始终处在防火墙的保护之下,不要被暴露至公开的互联网络环境中。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇微软5月份的更新导致Windows AD认.. 下一篇微软多个漏洞安全更新通告

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800