情境示意圖,圖片來源/微軟

南韓資安業者AhnLab本周警告,最近有一波Cobalt Strike攻擊行動鎖定的是尚未修補的SQL Server安全漏洞,或者是透過暴力破解與字典攻擊以取得SQL Server的存取憑證。

Cobalt Strike為一款商業化的滲透測試軟體,通常作為模擬入侵攻擊的紅隊演練之用,駭客則經常濫用它來滲透目標對象,進而安裝勒索軟體,或是潛伏於組織中竊取資訊,該軟體預設的惡意程式酬載稱為Beacon,亦肩負與C&C伺服器通訊的責任。

AhnLab說明,駭客先掃描1433傳輸埠,以辨識那些開放的SQL Server,再進行暴力破解或字典攻擊,取得憑證後再安裝Lemon Duck等挖礦工具,同時植入Cobalt Strike作為伺服器的後門,以便永久存在於受害者組織內並進行橫向移動。

Cobalt Strike是透過SQL Server的cmd.exe與powershell.exe程序進入受害組織,於MSBuild.exe中執行,且可透過額外的設定以繞過安全產品的偵測,之後再於合法的wwanmm.dll 中寫入與執行Beacon,等待C&C伺服器的指示。

圖片來源/AhnLab

Cobalt Strike每名使用者的授權費用為3,500美元,但坊間已有不少破解版,也讓它愈來愈受駭客的青睞。AhnLab除了建議SQL Server用戶應及時修補安全漏洞之外,也提醒使用者應採用強大的密碼,築高被攻陷的門檻。

熱門新聞

Advertisement