據(jù)報(bào)道稱，微軟正對(duì)使用Microsoft SQL Server (MSSQL) 數(shù)據(jù)庫(kù)服務(wù)器的用戶發(fā)出安全警告，警惕攻擊者利用弱密碼對(duì)暴露在網(wǎng)絡(luò)上的 MSSQL發(fā)動(dòng)暴力攻擊。

這已經(jīng)不是MSSQL服務(wù)器第一次成為此類攻擊的目標(biāo)，但微軟安全情報(bào)團(tuán)隊(duì)透露，最近觀察到的這次活動(dòng)背后的攻擊者正在使用合法的sqlps.exe工具作為L(zhǎng)OLBin(離地攻擊，living-off-the-land binary的縮寫(xiě))二進(jìn)制文件來(lái)運(yùn)行偵察命令，并將 SQL 服務(wù)的啟動(dòng)模式更改為 LocalSystem 來(lái)實(shí)現(xiàn)無(wú)文件持久性。

攻擊者還使用 sqlps.exe 創(chuàng)建新帳戶，并將其添加到 sysadmin 角色中，使他們能夠完全控制 SQL 服務(wù)器，獲得執(zhí)行其他操作的權(quán)限，包括部署像挖礦木馬這樣的有效負(fù)載。

由于sqlps是Microsoft SQL Server 附帶的一個(gè)實(shí)用程序，它允許將 SQL Server cmdlet 作為 LOLBin 加載，使攻擊者能夠執(zhí)行 PowerShell 命令，而不必?fù)?dān)心防御系統(tǒng)檢測(cè)到他們的惡意行為。sqlps還會(huì)讓這些攻擊不留下任何痕跡，因?yàn)槭褂?sqlps 是繞過(guò)腳本塊日志記錄的有效方法，這是一種 PowerShell 功能，否則會(huì)將 cmdlet 操作記錄到 Windows 事件日志中。

多年來(lái)，MSSQL 服務(wù)器一直是大規(guī)模攻擊活動(dòng)的主要目標(biāo)之一，攻擊者每天都會(huì)試圖劫持?jǐn)?shù)千臺(tái)易受攻擊的服務(wù)器。在近兩年的攻擊事件中，攻擊者通過(guò)暴力破解，在2000多臺(tái)暴露于網(wǎng)絡(luò)上的服務(wù)器中安裝了挖礦軟件和遠(yuǎn)程訪問(wèn)木馬。在今年3月的攻擊報(bào)告中，攻擊者針對(duì) MSSQL 服務(wù)器部署了Gh0stCringe(又名 CirenegRAT)遠(yuǎn)程訪問(wèn)木馬 。

為了保護(hù) MSSQL 服務(wù)器免受此類攻擊，微軟建議對(duì)服務(wù)器使用不容易被破解的強(qiáng)密碼，并確保服務(wù)器始終處在防火墻的保護(hù)之下，不要被暴露至公開(kāi)的互聯(lián)網(wǎng)絡(luò)環(huán)境中。