日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

日前有數(shù)據(jù)顯示，黑客正在易受攻擊的Microsoft SQL數(shù)據(jù)庫中安裝Cobalt Strike信標(biāo)，以此獲得在目標(biāo)網(wǎng)絡(luò)中的立足點(diǎn)。

這種新型攻擊模式首先是由綜合網(wǎng)絡(luò)安全提供商安博士(Ahn Lab)的ASEC研究人員發(fā)現(xiàn)的，黑客在易受攻擊的微軟SQL服務(wù)器上部署Cobalt Strike信標(biāo)，以實(shí)現(xiàn)對(duì)目標(biāo)網(wǎng)絡(luò)的初始訪問，并部署惡意負(fù)載。安全性較差的Microsoft SQL數(shù)據(jù)庫是他們首要攻擊的目標(biāo)。

攻擊鏈啟動(dòng)后，攻擊者會(huì)掃描TCP端口為1433的MS-SQL服務(wù)器，然后進(jìn)行蠻力攻擊和字典式攻擊，以試圖破解密碼。

可以觀察到，攻擊者部署了可以訪問服務(wù)器的加密貨幣挖礦工具，如Lemon Duck、KingMiner和Vollgar。攻擊者通過安裝開發(fā)工具Cobalt Strike來實(shí)現(xiàn)持久性，并使用其進(jìn)行橫向移動(dòng)。

如果攻擊者通過這些進(jìn)程成功登錄admin帳戶，他們會(huì)使用xp_cmdshell命令在受感染的系統(tǒng)中執(zhí)行。安博士最新發(fā)表的ASEC分析報(bào)告寫道：“最近發(fā)現(xiàn)的Cobalt Strike是通過如下所示的MS-SQL進(jìn)程通過cmd.exe和powershell.exe下載的?！?/p>

“Cobalt Strike信標(biāo)被植入到合法的Windows wwanmm.dll進(jìn)程中，等待攻擊者發(fā)出命令。在MSBuild.exe中執(zhí)行的Cobalt Strike有一個(gè)額外的設(shè)置選項(xiàng)可以繞過安全產(chǎn)品的檢測，在這里，它加載普通的dll wwanmm.dll，然后在dll的內(nèi)存區(qū)域中寫入并執(zhí)行一個(gè)信標(biāo)?！眻?bào)告繼續(xù)分析到?！耙?yàn)榻邮展粽呙畈?zhí)行惡意行為的信標(biāo)并不存在于可疑的內(nèi)存區(qū)域，而是在正常的模塊wwanmm.dll中運(yùn)行，所以它可以繞過基于內(nèi)存的檢測?！?/p>

目前尚不清楚攻擊者如何控制MS-SQL服務(wù)器并安裝惡意軟件，但專家認(rèn)為目標(biāo)系統(tǒng)對(duì)賬戶憑證進(jìn)行不當(dāng)管理的情況是一定存在的。

此外，安博士也同時(shí)發(fā)布了對(duì)這些攻擊的妥協(xié)指標(biāo)，包括下載url、信標(biāo)的MD5哈希值和C2服務(wù)器url等。

參考來源

https://www.bleepingcomputer.com/news/security/vulnerable-microsoft-sql-servers-targeted-with-cobalt-strike/

網(wǎng)頁標(biāo)題：保護(hù)力度不夠的MicrosoftSQL數(shù)據(jù)庫正成為黑客攻擊的目標(biāo)
URL分享：http://m.5511xx.com/article/dhesdsp.html