近期，阿里云云安全中心基于全新的深度威脅檢測功能，監(jiān)測到云上部分用戶的 SQL Server 數(shù)據(jù)庫內(nèi)部隱藏著一種新型的持久化后門程序。

攻擊者利用弱口令不嚴(yán)謹(jǐn)配置，以非常簡單的攻擊方法進(jìn)入數(shù)據(jù)庫，即可植入該后門，更致命的是，該后門高度隱蔽和持久化控制的特性，讓發(fā)現(xiàn)和清除變得困難。

威 脅 特 點

植入簡單

利用數(shù)據(jù)庫弱密碼或不嚴(yán)謹(jǐn)配置，攻擊者只需簡單的弱口令利用，即可輕松登錄進(jìn)用戶的數(shù)據(jù)庫植入該后門程序;

高度隱蔽

該后門完全隱藏在SQL Server數(shù)據(jù)庫進(jìn)程內(nèi)部，無文件落地、無額外進(jìn)程，運維管理人員很難定位到后門真正所在;

持久化控制

該惡意后門持續(xù)不斷地向云主機內(nèi)部植入挖礦病毒等其他惡意程序，使管理員陷入病毒殺不完、懷疑有漏洞的困境;

查殺困難

簡單的弱口令漏洞修復(fù)和已有惡意文件查殺根本無法實現(xiàn)對惡意程序來源的清除，即使重啟數(shù)據(jù)庫服務(wù)、甚至重啟云主機，由于真正的隱藏后門沒有完全清除，還是會有病毒源源不斷的被植入主機。

攻 擊 流 程

• 攻擊者利用某些應(yīng)用程序供應(yīng)商的數(shù)據(jù)庫默認(rèn)密碼及不嚴(yán)謹(jǐn)配置入侵SQL Server數(shù)據(jù)庫;
• 在登入數(shù)據(jù)庫后，創(chuàng)建SQL Server代理作業(yè)周期性執(zhí)行SQL語句調(diào)用惡意的用戶自定義函數(shù);
• 用一種特殊的方式將惡意代碼以CLR程序集的形式加載進(jìn)數(shù)據(jù)庫，實現(xiàn)通過用戶自定義函數(shù)調(diào)用惡意的CLR程序集;
• 已創(chuàng)建的SQL Server代理作業(yè)自動周期性的調(diào)用惡意CLR程序集，實現(xiàn)惡意代碼持久化。

威 脅 分 析

傳統(tǒng)的持久化技術(shù)、惡意代碼加載方式早已被所有主機安全產(chǎn)品列為重點監(jiān)控范圍，很容易被發(fā)現(xiàn)并清除掉：

• 利用操作系統(tǒng)內(nèi)置的計劃任務(wù)、系統(tǒng)服務(wù)、自啟動項等方式進(jìn)行持久化;
• 直接在磁盤上放置惡意程序文件;
•  利用系統(tǒng)內(nèi)置的工具程序加載惡意代碼到內(nèi)存中執(zhí)行。

不同的是，此次新型惡意程序?qū)煞NSQL Server內(nèi)置功能巧妙結(jié)合用于惡意軟件持久化，實現(xiàn)了在無文件落地、無額外進(jìn)程的情況下保持對云主機的持久化控制，將惡意活動完全隱藏在用戶正常業(yè)務(wù)所需要的SQL Server數(shù)據(jù)庫進(jìn)程內(nèi)部。

那么，這一惡意程序是怎么做到的呢?

利用代理作業(yè)實現(xiàn)無異常周期性循環(huán)執(zhí)行

SQL Server代理作業(yè)原本的用途是方便用戶進(jìn)行數(shù)據(jù)庫運維，通過設(shè)置執(zhí)行計劃和執(zhí)行步驟來實現(xiàn)周期性的執(zhí)行腳本程序或SQL語句。以往會利用此功能的攻擊者或惡意軟件會直接用代理作業(yè)執(zhí)行一段惡意命令或惡意腳本，極易被運維管理員發(fā)現(xiàn)。

但是該后門的實施者，在創(chuàng)建代理作業(yè)后，僅執(zhí)行了一句很短的SQL語句，將后門隱藏在另一個用戶自定義函數(shù)SqlManagement背后，隱蔽性很強。

作業(yè)名稱 ：

syspolicy_sqlmanagement_history 

執(zhí)行計劃名稱 ：

schedule_sqlmanagement 

執(zhí)行步驟名稱 ：

sqlmanagement 

執(zhí)行步驟內(nèi)容 ：

select dbo.SqlManagement(0) 

利用CLR程序集實現(xiàn)高隱蔽性

代理作業(yè)中的SQL語句要執(zhí)行的惡意的用戶自定義函數(shù)SqlManagement，背后對應(yīng)的是一個CLR程序集 Microsft.SqlServer.Management。該功能原本用途是方便高級數(shù)據(jù)庫管理員擴展數(shù)據(jù)庫功能，攻擊者利用該技術(shù)可以實現(xiàn)在SQL中調(diào)用自定義的惡意C#程序。

以往植入新的CLR程序集需要先將惡意程序?qū)懭氪疟P，很容易被殺毒軟件發(fā)現(xiàn)，攻擊者使用了一種特殊的寫入方式，直接使用SQL寫入C#程序的16進(jìn)制流，將程序加載到數(shù)據(jù)庫中。結(jié)合SQL Server 代理作業(yè)功能，即可實現(xiàn)在數(shù)據(jù)庫進(jìn)程內(nèi)部持久化周期執(zhí)行惡意的C#程序。

使用SQL將C#惡意程序直接載入數(shù)據(jù)庫示例：

CREATE ASSEMBLY [Microsft.SqlServer.Management] AUTHORIZATION [dbo] FROM

CREATE ASSEMBLY [Microsft.SqlServer.Management] AUTHORIZATION [dbo] FROM 
0x4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000800000000
E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A2400000000000000
504500004C010300777C565F0000000000000000E00022200B013000001E00000006000000000000 (后續(xù)省略) 

還原出的反編譯的CLR程序集進(jìn)行分析，發(fā)現(xiàn)核心功能是從用戶自定義函數(shù) SqlManagement 開始，最終調(diào)用至SendAndReceiveFromServerBuffer 函數(shù)從vihansoft.ir周期性下載惡意程序并執(zhí)行，執(zhí)行流程全部隱藏在SQL Server應(yīng)用內(nèi)，安全運維人員難以發(fā)現(xiàn)。

惡意后門檢測與清理

阿里云安全中心用戶，只需進(jìn)行簡單配置，即可實現(xiàn)對新型SQLServer無文件持久化惡意程序的深度檢測、發(fā)現(xiàn)、溯源和清理。

1.云環(huán)境深度威脅檢測技術(shù)

針對云上主流應(yīng)用進(jìn)行深度檢測，尤其是針對Microsoft SQL Server等常見應(yīng)用，云安全中心可以深入應(yīng)用內(nèi)部，在不打擾應(yīng)用運行的情況下，對潛在的風(fēng)險項進(jìn)行掃描，無感發(fā)現(xiàn)無文件、無額外進(jìn)程的高度隱蔽惡意程序，識別該后門的惡意域名。

2.自動化威脅溯源

云安全中心后臺系統(tǒng)基于多種主機進(jìn)程行為分析，通過異構(gòu)數(shù)據(jù)關(guān)聯(lián)、圖引擎計算、惡意行為模式聚類等方式，層層推進(jìn)還原出原始觸發(fā)點或根據(jù)聚類分析結(jié)果進(jìn)行推理還原，自動化追溯威脅源頭。

3.一點檢測全網(wǎng)聯(lián)動防御

威脅源頭信息共享在全網(wǎng)的“檢測模式”類威脅情報網(wǎng)絡(luò)中，只要在一臺主機上確認(rèn)該后門特征，其他主機在掃描時也能快速識別該后門程序。同時發(fā)現(xiàn)該后門曾經(jīng)植入的后續(xù)其他惡意文件。

4.一鍵深度清理

針對此類特殊后門，云安全中心支持一鍵清理，可以深入到SQL Server應(yīng)用內(nèi)部，精準(zhǔn)處理掉該后門程序。

拓展安全建議

此次發(fā)現(xiàn)的新型持久化惡意程序，攻擊者主要針對云上SQL Server服務(wù)發(fā)動攻擊，除了常規(guī)的弱口令爆破外，入侵者還會嘗試某些應(yīng)用服務(wù)供應(yīng)商的數(shù)據(jù)庫初始化口令。

用戶不單單需要關(guān)注自身管理數(shù)據(jù)庫服務(wù)是否存在弱口令，還需警惕應(yīng)用服務(wù)供應(yīng)商的默認(rèn)口令被入侵，做好日常安全基線檢查與安全加固，防患于未然。