日前有數據顯示，黑客正在易受攻擊的Microsoft SQL數據庫中安裝Cobalt Strike信標，以此獲得在目標網絡中的立足點。

這種新型攻擊模式首先是由綜合網絡安全提供商安博士(Ahn Lab)的ASEC研究人員發(fā)現的，黑客在易受攻擊的微軟SQL服務器上部署Cobalt Strike信標，以實現對目標網絡的初始訪問，并部署惡意負載。安全性較差的Microsoft SQL數據庫是他們首要攻擊的目標。

攻擊鏈啟動后，攻擊者會掃描TCP端口為1433的MS-SQL服務器，然后進行蠻力攻擊和字典式攻擊，以試圖破解密碼。

可以觀察到，攻擊者部署了可以訪問服務器的加密貨幣挖礦工具，如Lemon Duck、KingMiner和Vollgar。攻擊者通過安裝開發(fā)工具Cobalt Strike來實現持久性，并使用其進行橫向移動。

如果攻擊者通過這些進程成功登錄admin帳戶，他們會使用xp_cmdshell命令在受感染的系統中執(zhí)行。安博士最新發(fā)表的ASEC分析報告寫道：“最近發(fā)現的Cobalt Strike是通過如下所示的MS-SQL進程通過cmd.exe和powershell.exe下載的。”

“Cobalt Strike信標被植入到合法的Windows wwanmm.dll進程中，等待攻擊者發(fā)出命令。在MSBuild.exe中執(zhí)行的Cobalt Strike有一個額外的設置選項可以繞過安全產品的檢測，在這里，它加載普通的dll wwanmm.dll，然后在dll的內存區(qū)域中寫入并執(zhí)行一個信標?！眻蟾胬^續(xù)分析到。“因為接收攻擊者命令并執(zhí)行惡意行為的信標并不存在于可疑的內存區(qū)域，而是在正常的模塊wwanmm.dll中運行，所以它可以繞過基于內存的檢測。”

目前尚不清楚攻擊者如何控制MS-SQL服務器并安裝惡意軟件，但專家認為目標系統對賬戶憑證進行不當管理的情況是一定存在的。

此外，安博士也同時發(fā)布了對這些攻擊的妥協指標，包括下載url、信標的MD5哈希值和C2服務器url等。

參考來源

https://www.bleepingcomputer.com/news/security/vulnerable-microsoft-sql-servers-targeted-with-cobalt-strike/