一.摘要

目前勒索軟件針對Microsoft SQL服務(wù)器主要通過暴力破解MS SQL服務(wù)器獲得最初對受害主機(jī)的訪問，使用它來枚舉數(shù)據(jù)庫，并利用xp_cmdshell配置選項來運(yùn)行shell命令和進(jìn)行偵查，同時還會削弱防火墻的功能并建立持久性，同時勒索軟件還會連接到遠(yuǎn)程SMB共享以在受害系統(tǒng)之間傳輸文件和安裝惡意工具。

二.Microsoft SQL服務(wù)器常見漏洞

Microsoft SQL是美國微軟公司推出的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，該數(shù)據(jù)庫有以下一些常被勒索軟件利用的漏洞：

• 弱口令漏洞 - 很多組織使用弱密碼或保留默認(rèn)密碼，讓攻擊者輕松猜解獲取訪問。

• SQL注入漏洞 - 可通過構(gòu)造特殊SQL語句注入到輸入?yún)?shù)，執(zhí)行非授權(quán)的查詢或獲取shell。

• 遠(yuǎn)程代碼執(zhí)行漏洞 - 如CVE-2022-21907、CVE-2020-1048,允許遠(yuǎn)程未認(rèn)證攻擊者執(zhí)行任意代碼。

• 服務(wù)提權(quán)漏洞 - 如CVE-2020-1533，可讓低權(quán)限SQL服務(wù)帳戶獲得系統(tǒng)級權(quán)限。

• 未正確配置實例漏洞 - 公網(wǎng)可以直接訪問未正確限制端口和訪問控制的SQL實例。

• 緩沖區(qū)溢出漏洞 - 可用于獲得服務(wù)執(zhí)行權(quán)限或繞過登錄認(rèn)證。

• 組件漏洞 - 如搜索服務(wù)、SSRS報表服務(wù)器等組件的遠(yuǎn)程代碼執(zhí)行漏洞。

• 序列化/反序列化漏洞 - 可通過特制的序列化對象利用。

• 目錄遍歷漏洞 - 結(jié)合文件寫入可實現(xiàn)任意代碼執(zhí)行。

• 加密算法弱點 - 利用加密或散列算法的弱點實現(xiàn)密碼破解。

三.勒索軟件攻擊手段

目前勒索軟件攻擊Microsoft SQL服務(wù)器的一些常見技術(shù)手段包括：

• 利用弱口令或默認(rèn)配置來獲取入侵。很多組織沒有更改默認(rèn)的sql用戶口令，這給攻擊者可乘之機(jī)。

• 利用已知的SQL注入漏洞。通過構(gòu)造特殊的SQL語句注入到網(wǎng)頁參數(shù)，可以獲取數(shù)據(jù)庫訪問權(quán)限。

• 通過暴力破解獲取訪問權(quán)限。利用密碼破解工具大量嘗試不同密碼，獲取sql登錄權(quán)限。

• 利用漏洞執(zhí)行代碼。例如CVE-2022-21907遠(yuǎn)程代碼執(zhí)行漏洞，允許未經(jīng)身份驗證的攻擊者以高權(quán)限執(zhí)行代碼。

• 利用釣魚郵件傳播木馬。包含惡意宏或腳本的Office文檔，被用戶打開后，可在系統(tǒng)后臺安裝勒索軟件。

• 水平移動，從已入侵的系統(tǒng)獲取SQL服務(wù)權(quán)限。

• 刪除或加密備份，破壞數(shù)據(jù)恢復(fù)能力。

• 加密數(shù)據(jù)庫文件，使數(shù)據(jù)不可讀取。

• 修改數(shù)據(jù)，插入勒索信息，敲詐支付贖金。

• 利用數(shù)據(jù)庫連接漏洞，從互聯(lián)網(wǎng)直接訪問數(shù)據(jù)庫服務(wù)器。

勒索軟件在攻擊過程中會利用自身的攻擊載荷展開攻擊, 其攻擊載荷主要包括：

• 加密程序：用于加密受害者重要數(shù)據(jù)的算法，是勒索軟件的核心組件，如AES、RSA等加密算法。

• 勒索信：包含支付贖金要求的文本文件，通常放在每個加密文件的同目錄下。

• 勒索說明：詳細(xì)說明勒索過程的文本文件或網(wǎng)頁，包括支付流程、恢復(fù)說明等。

• 恢復(fù)密鑰生成器：如果支付贖金，用于解密文件恢復(fù)數(shù)據(jù)的密鑰生成工具。

• 系統(tǒng)監(jiān)控組件：監(jiān)視受害系統(tǒng)進(jìn)程、網(wǎng)絡(luò)連接、防病毒軟件等，幫助勒索軟件避開檢測。

• 自刪除組件：完成加密后，刪除勒索軟件自身，試圖摧毀證據(jù)。

• 網(wǎng)絡(luò)傳播模塊：利用漏洞進(jìn)行橫向移動，感染更多系統(tǒng)。

• DDoS模塊：用于發(fā)動分布式拒絕服務(wù)攻擊，增加敲詐壓力。

• 數(shù)據(jù)竊取模塊：竊取敏感數(shù)據(jù)，以進(jìn)行雙重勒索。

• 后門程序：維持對系統(tǒng)的長期控制訪問。