黑客用Cobalt Strike后门解锁了Microsoft SQL数据库服务器

作为在受损主机上部署Cobalt Strike敌方模拟工具的新行动的一部分，威胁参与者将针对易受攻击的面向互联网的Microsoft SQL（MS SQL）服务器。

韩国网络安全公司AhnLab Security Emergency Response Center（ASEC）在周一发布的一份报告中表示：“针对MS SQL Server的攻击包括对其漏洞尚未修补的环境的攻击、暴力攻击，以及针对管理不善的服务器的字典攻击。”。

Cobalt Strike是一个商业化的、功能齐全的渗透测试框架，允许攻击者在受害者机器上部署一个名为“Beacon”的代理，允许操作员远程访问系统。尽管被称为红队威胁模拟平台，但破解版本的软件已被广泛的威胁参与者积极使用。

ASEC观察到的入侵涉及身份不明的参与者扫描端口1433，以检查暴露的MS SQL服务器是否对系统管理员帐户（即“sa”帐户）执行暴力或字典攻击，以尝试登录。

这并不是说，无法通过互联网访问的服务器不易受到攻击，LemonDuck恶意软件背后的威胁参与者扫描同一端口，在网络上横向移动。

研究人员说：“管理管理员帐户凭据，使其容易受到上述暴力强迫和字典攻击，或未能定期更改凭据，可能会使MS-SQL服务器成为攻击者的主要目标。”。

成功站稳脚跟后，下一阶段的攻击通过MS SQL“sqlservr.exe”进程生成Windows命令外壳，将下一阶段的有效载荷下载到系统上，该载荷包含编码的钴击二进制文件。

这些攻击最终以恶意软件对Cobalt Strike可执行文件进行解码而告终，然后将其注入合法的Microsoft Build Engine（MSBuild）进程，该进程以前曾被恶意参与者滥用，在目标Windows系统上无文件传输远程访问特洛伊木马和密码窃取恶意软件。

此外，在MSBuild中执行的钴打击。exe附带了额外的配置，以逃避安全软件的检测。它通过加载“wwanmm.dll”（一个用于WWan媒体管理器的Windows库）来实现这一点，然后在dll的内存区域写入并运行信标。

研究人员指出：“由于接收攻击者命令并执行恶意行为的信标不存在于可疑内存区域，而是在正常模块wwanmm.dll中运行，因此它可以绕过基于内存的检测。”。