Virus tấn công và phát tán qua SQL Server

HustReMw

VIP Members
20/12/2016
251
544 bài viết
Virus tấn công và phát tán qua SQL Server
Chào các bạn, trong quá trình mình phân tích virus mình phát hiện ra một kỹ thuật virus tấn công và lợi dụng SQL Server để phát tán.

1704784890316.png

Dưới đây là mẫu virus thực tế tên Lemon Duck đã tấn công và phát tán qua rất nhiều con đường, trong phạm vi bài viết này mình tập chung vào SQL Server.
upload_2021-11-17_13-49-6.png
xp_cmdshell

Là một tính năng chạy các script do SQL Server cung cấp để phục vụ các mục đính như tự động động backup, restore database, copy file...Mặc định khi cài SQL Server tính năng này được tắt, tuy nhiên để tự động hóa các thao tác rất nhiều quản trị viện bật tính năng này để sử dụng.

Kịch bản tấn công phát tán virus

Để có thể tấn công và phát tán qua SQL Server cần 2 yếu tố:
  • xp_cmdshell phải được bật
  • Chiếm được tài khoản master, để kiếm được tài khoản master cách phổ biến nhất là brueforce

upload_2021-11-17_13-37-40.png

Dưới đây là một số password mã độc dùng để bruteforce SQL Server thông qua công 1433

upload_2021-11-17_13-53-15.png

Sau khi bruteforce thành công, mã độc chạy các lệnh cài đặt mã độc sang máy victim thông qua xp_cmdshell
upload_2021-11-17_13-55-43.png

Lời khuyên
  • Tắt xp_cmdshell khi không sử dụng
  • Đặt mật khẩu mạnh cho master và các mật khẩu khác
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
upload_2020-12-12_9-50-48-png.7806

Đẻ ra mấy con fileless này đây mà @@
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Thẻ
sql server
Bên trên