下載吧 - 綠色安全的游戲和軟件下載中心

軟件下載吧

當前位置:軟件下載吧 > 數據庫 > MS_SQL > 解密新型SQL Server數據庫無文件持久化惡意程序的問題

解密新型SQL Server數據庫無文件持久化惡意程序的問題

時間:2024-03-10 11:43作者:下載吧人氣:20

近期,阿里云云安全中心基于全新的深度威脅檢測功能,監測到云上部分用戶的 SQL Server 數據庫內部隱藏著一種新型的持久化后門程序。

攻擊者利用弱口令不嚴謹配置,以非常簡單的攻擊方法進入數據庫,即可植入該后門,更致命的是,該后門高度隱蔽和持久化控制的特性,讓發現和清除變得困難。

威 脅 特 點

植入簡單

利用數據庫弱密碼或不嚴謹配置,攻擊者只需簡單的弱口令利用,即可輕松登錄進用戶的數據庫植入該后門程序;

高度隱蔽

該后門完全隱藏在SQL Server數據庫進程內部,無文件落地、無額外進程,運維管理人員很難定位到后門真正所在;

持久化控制

該惡意后門持續不斷地向云主機內部植入挖礦病毒等其他惡意程序,使管理員陷入病毒殺不完、懷疑有漏洞的困境;

查殺困難

簡單的弱口令漏洞修復和已有惡意文件查殺根本無法實現對惡意程序來源的清除,即使重啟數據庫服務、甚至重啟云主機,由于真正的隱藏后門沒有完全清除,還是會有病毒源源不斷的被植入主機。

攻 擊 流 程

解密新型SQL Server數據庫無文件持久化惡意程序的問題

  • 攻擊者利用某些應用程序供應商的數據庫默認密碼及不嚴謹配置入侵SQL Server數據庫;
  • 在登入數據庫后,創建SQL Server代理作業周期性執行SQL語句調用惡意的用戶自定義函數;
  • 用一種特殊的方式將惡意代碼以CLR程序集的形式加載進數據庫,實現通過用戶自定義函數調用惡意的CLR程序集;
  • 已創建的SQL Server代理作業自動周期性的調用惡意CLR程序集,實現惡意代碼持久化。

威 脅 分 析

傳統的持久化技術、惡意代碼加載方式早已被所有主機安全產品列為重點監控范圍,很容易被發現并清除掉:

  • 利用操作系統內置的計劃任務、系統服務、自啟動項等方式進行持久化;
  • 直接在磁盤上放置惡意程序文件; 
  •  利用系統內置的工具程序加載惡意代碼到內存中執行。

不同的是,此次新型惡意程序將兩種SQL Server內置功能巧妙結合用于惡意軟件持久化,實現了在無文件落地、無額外進程的情況下保持對云主機的持久化控制,將惡意活動完全隱藏在用戶正常業務所需要的SQL Server數據庫進程內部。

那么,這一惡意程序是怎么做到的呢?

利用代理作業實現無異常周期性循環執行

SQL Server代理作業原本的用途是方便用戶進行數據庫運維,通過設置執行計劃和執行步驟來實現周期性的執行腳本程序或SQL語句。以往會利用此功能的攻擊者或惡意軟件會直接用代理作業執行一段惡意命令或惡意腳本,極易被運維管理員發現。

但是該后門的實施者,在創建代理作業后,僅執行了一句很短的SQL語句,將后門隱藏在另一個用戶自定義函數SqlManagement背后,隱蔽性很強。

作業名稱 :

syspolicy_sqlmanagement_history

標簽MSSQL,SQLServer,技術文檔,數據庫,SQLSERVER
查看所有評論+

網友評論

網友
您的評論需要經過審核才能顯示

熱門閱覽

最新排行

公眾號

盖楼回复X

(您的评论需要经过审核才能显示)

主站蜘蛛池模板: 久久精品a亚洲国产v高清不卡| 在线观看日韩视频| 国产大学生系列| 九月婷婷亚洲综合在线| 69堂国产成人精品视频不卡| 欧美夫妇交换完整版随便看| 国精产品一区一区三区有限公司| 人人干在线视频| 99久久免费国产精品| 男女啪啪免费体验区| 天天操天天干天天插| 人妻精品无码一区二区三区| av无码东京热亚洲男人的天堂 | 久久精品国产网红主播| 91香蕉视频直播| 日韩制服丝袜在线观看| 国产另类TS人妖一区二区| 久久国产精品一区免费下载| 被两个同桌绑起来玩乳动态gif| 日本黄大片在线观看| 国产丝袜制服在线| 中文字幕在线免费看线人| 精品国偷自产在线视频| 天天拍拍夜夜出水| 亚洲欧美日韩精品久久奇米色影视| 2021麻豆剧果冻传媒入口永久| 欧美成人在线视频| 国产欧美在线不卡| 久久精品99国产精品日本| 色综合久久天天综合| 少妇的丰满3中文字幕| 伊人一伊人色综合网| 884aa四虎四虎永久播放地址| 欧美乱色理伦片| 国产又粗又猛又爽视频| 中文字幕人成无码人妻| 男女做性猛烈叫床视频免费| 国产羞羞羞视频在线观看| 亚洲av永久无码精品网站| 蜜芽.768.忘忧草二区老狼| 成人口工漫画网站免费|