近期，阿里云云安全中心基于全新的深度威脅檢測功能，監測到云上部分用戶的 SQL Server 數據庫內部隱藏著一種新型的持久化后門程序。

攻擊者利用弱口令不嚴謹配置，以非常簡單的攻擊方法進入數據庫，即可植入該后門，更致命的是，該后門高度隱蔽和持久化控制的特性，讓發現和清除變得困難。

威 脅 特 點

植入簡單

利用數據庫弱密碼或不嚴謹配置，攻擊者只需簡單的弱口令利用，即可輕松登錄進用戶的數據庫植入該后門程序;

高度隱蔽

該后門完全隱藏在SQL Server數據庫進程內部，無文件落地、無額外進程，運維管理人員很難定位到后門真正所在;

持久化控制

該惡意后門持續不斷地向云主機內部植入挖礦病毒等其他惡意程序，使管理員陷入病毒殺不完、懷疑有漏洞的困境;

查殺困難

簡單的弱口令漏洞修復和已有惡意文件查殺根本無法實現對惡意程序來源的清除，即使重啟數據庫服務、甚至重啟云主機，由于真正的隱藏后門沒有完全清除，還是會有病毒源源不斷的被植入主機。

攻 擊 流 程

• 攻擊者利用某些應用程序供應商的數據庫默認密碼及不嚴謹配置入侵SQL Server數據庫;
• 在登入數據庫后，創建SQL Server代理作業周期性執行SQL語句調用惡意的用戶自定義函數;
• 用一種特殊的方式將惡意代碼以CLR程序集的形式加載進數據庫，實現通過用戶自定義函數調用惡意的CLR程序集;
• 已創建的SQL Server代理作業自動周期性的調用惡意CLR程序集，實現惡意代碼持久化。

威 脅 分 析

傳統的持久化技術、惡意代碼加載方式早已被所有主機安全產品列為重點監控范圍，很容易被發現并清除掉：

• 利用操作系統內置的計劃任務、系統服務、自啟動項等方式進行持久化;
• 直接在磁盤上放置惡意程序文件; 
•  利用系統內置的工具程序加載惡意代碼到內存中執行。

不同的是，此次新型惡意程序將兩種SQL Server內置功能巧妙結合用于惡意軟件持久化，實現了在無文件落地、無額外進程的情況下保持對云主機的持久化控制，將惡意活動完全隱藏在用戶正常業務所需要的SQL Server數據庫進程內部。

那么，這一惡意程序是怎么做到的呢?

利用代理作業實現無異常周期性循環執行

SQL Server代理作業原本的用途是方便用戶進行數據庫運維，通過設置執行計劃和執行步驟來實現周期性的執行腳本程序或SQL語句。以往會利用此功能的攻擊者或惡意軟件會直接用代理作業執行一段惡意命令或惡意腳本，極易被運維管理員發現。

但是該后門的實施者，在創建代理作業后，僅執行了一句很短的SQL語句，將后門隱藏在另一個用戶自定義函數SqlManagement背后，隱蔽性很強。

作業名稱 ：

syspolicy_sqlmanagement_history