日前有数据显示，保护不够黑客正在易受攻击的力度Microsoft SQL数据库中安装Cobalt Strike信标，以此获得在目标网络中的据库击立足点。

这种新型攻击模式首先是正成由综合网络安全提供商安博士(Ahn Lab)的ASEC研究人员发现的，黑客在易受攻击的为黑微软SQL服务器上部署Cobalt Strike信标，以实现对目标网络的客攻初始访问，并部署恶意负载。目标安全性较差的保护不够Microsoft SQL数据库是他们首要攻击的目标。

攻击链启动后，力度攻击者会扫描TCP端口为1433的据库击MS-SQL服务器，然后进行蛮力攻击和字典式攻击，正成以试图破解密码。为黑

可以观察到，客攻攻击者部署了可以访问服务器的WordPress模板目标加密货币挖矿工具，如Lemon Duck、保护不够KingMiner和Vollgar。攻击者通过安装开发工具Cobalt Strike来实现持久性，并使用其进行横向移动。

如果攻击者通过这些进程成功登录admin帐户，他们会使用xp_cmdshell命令在受感染的系统中执行。安博士最新发表的ASEC分析报告写道：“最近发现的Cobalt Strike是通过如下所示的MS-SQL进程通过cmd.exe和powershell.exe下载的。”

“Cobalt Strike信标被植入到合法的Windows wwanmm.dll进程中，等待攻击者发出命令。在MSBuild.exe中执行的Cobalt Strike有一个额外的设置选项可以绕过安全产品的检测，在这里，它加载普通的dll wwanmm.dll，企商汇然后在dll的内存区域中写入并执行一个信标。”报告继续分析到。“因为接收攻击者命令并执行恶意行为的信标并不存在于可疑的内存区域，而是在正常的模块wwanmm.dll中运行，所以它可以绕过基于内存的检测。”

目前尚不清楚攻击者如何控制MS-SQL服务器并安装恶意软件，但专家认为目标系统对账户凭证进行不当管理的情况是一定存在的。

此外，安博士也同时发布了对这些攻击的妥协指标，包括下载url、信标的MD5哈希值和C2服务器url等。

参考来源

https://www.bleepingcomputer.com/news/security/vulnerable-microsoft-sql-servers-targeted-with-cobalt-strike/

(责任编辑：系统运维)