下載吧 - 綠色安全的游戲和軟件下載中心

軟件下載吧

當前位置:軟件下載吧 > 數據庫 > MS_SQL > 解密新型SQL Server數據庫無文件持久化惡意程序的問題

解密新型SQL Server數據庫無文件持久化惡意程序的問題

時間:2024-03-10 11:43作者:下載吧人氣:21

近期,阿里云云安全中心基于全新的深度威脅檢測功能,監測到云上部分用戶的 SQL Server 數據庫內部隱藏著一種新型的持久化后門程序。

攻擊者利用弱口令不嚴謹配置,以非常簡單的攻擊方法進入數據庫,即可植入該后門,更致命的是,該后門高度隱蔽和持久化控制的特性,讓發現和清除變得困難。

威 脅 特 點

植入簡單

利用數據庫弱密碼或不嚴謹配置,攻擊者只需簡單的弱口令利用,即可輕松登錄進用戶的數據庫植入該后門程序;

高度隱蔽

該后門完全隱藏在SQL Server數據庫進程內部,無文件落地、無額外進程,運維管理人員很難定位到后門真正所在;

持久化控制

該惡意后門持續不斷地向云主機內部植入挖礦病毒等其他惡意程序,使管理員陷入病毒殺不完、懷疑有漏洞的困境;

查殺困難

簡單的弱口令漏洞修復和已有惡意文件查殺根本無法實現對惡意程序來源的清除,即使重啟數據庫服務、甚至重啟云主機,由于真正的隱藏后門沒有完全清除,還是會有病毒源源不斷的被植入主機。

攻 擊 流 程

解密新型SQL Server數據庫無文件持久化惡意程序的問題

  • 攻擊者利用某些應用程序供應商的數據庫默認密碼及不嚴謹配置入侵SQL Server數據庫;
  • 在登入數據庫后,創建SQL Server代理作業周期性執行SQL語句調用惡意的用戶自定義函數;
  • 用一種特殊的方式將惡意代碼以CLR程序集的形式加載進數據庫,實現通過用戶自定義函數調用惡意的CLR程序集;
  • 已創建的SQL Server代理作業自動周期性的調用惡意CLR程序集,實現惡意代碼持久化。

威 脅 分 析

傳統的持久化技術、惡意代碼加載方式早已被所有主機安全產品列為重點監控范圍,很容易被發現并清除掉:

  • 利用操作系統內置的計劃任務、系統服務、自啟動項等方式進行持久化;
  • 直接在磁盤上放置惡意程序文件; 
  •  利用系統內置的工具程序加載惡意代碼到內存中執行。

不同的是,此次新型惡意程序將兩種SQL Server內置功能巧妙結合用于惡意軟件持久化,實現了在無文件落地、無額外進程的情況下保持對云主機的持久化控制,將惡意活動完全隱藏在用戶正常業務所需要的SQL Server數據庫進程內部。

那么,這一惡意程序是怎么做到的呢?

利用代理作業實現無異常周期性循環執行

SQL Server代理作業原本的用途是方便用戶進行數據庫運維,通過設置執行計劃和執行步驟來實現周期性的執行腳本程序或SQL語句。以往會利用此功能的攻擊者或惡意軟件會直接用代理作業執行一段惡意命令或惡意腳本,極易被運維管理員發現。

但是該后門的實施者,在創建代理作業后,僅執行了一句很短的SQL語句,將后門隱藏在另一個用戶自定義函數SqlManagement背后,隱蔽性很強。

作業名稱 :

syspolicy_sqlmanagement_history

標簽MSSQL,SQLServer,技術文檔,數據庫,SQLSERVER
查看所有評論+

網友評論

網友
您的評論需要經過審核才能顯示

熱門閱覽

最新排行

公眾號

盖楼回复X

(您的评论需要经过审核才能显示)

主站蜘蛛池模板: 在线观看国产成人AV天堂| 亚洲国产av高清无码| 国产精品无码专区在线观看| 欧美人与动牲交a欧美精品| 顶级欧美色妇xxxxx| 中文字幕在线视频网站| 人妻少妇精品中文字幕av蜜桃| 国产精品女同一区二区| 日本视频一区在线观看免费| 精品人妻VA出轨中文字幕| 97久久精品无码一区二区天美| 亚洲国产中文在线视频| 国产亚洲视频在线| 女欢女爱第一季| 日韩成人免费视频| 精品视频vs精品视频| 在线观看精品视频看看播放| 中文字幕人妻高清乱码| 亚洲另类欧美综合久久图片区 | 欧美肥老太肥506070| 饭冈加奈子黑人解禁在线播放| 一区二区三区久久精品| 久草福利资源在线观看| 人妻少妇看a偷人无码精品| 国产免费怕怕免费视频观看| 国内精品伊人久久久久AV一坑| 无码福利一区二区三区| 欧美午夜理伦三级理论三级| 精品国产国产综合精品| 国产喷水女王在线播放| 99re99.nat| www.youjizz.com国产| 久久久久久91| 久久精品青草社区| 亚洲国产成a人v在线观看| 午夜阳光电影在线观看| 国产成人免费永久播放视频平台| 在线视频日韩欧美| 好紧的小嫩木耳白浆| 房客(糙汉)何璐程曜坤| 日韩在线不卡免费视频一区|