微軟SQL Server漏洞遭駭客以滲透測試工具Cobalt Strike鎖定

南韓資安業者AhnLab本周警告，最近有一波Cobalt Strike攻擊行動鎖定的是尚未修補的SQL Server安全漏洞，或者是透過暴力破解與字典攻擊以取得SQL Server的存取憑證。

Cobalt Strike為一款商業化的滲透測試軟體，通常作為模擬入侵攻擊的紅隊演練之用，駭客則經常濫用它來滲透目標對象，進而安裝勒索軟體，或是潛伏於組織中竊取資訊，該軟體預設的惡意程式酬載稱為Beacon，亦肩負與C&C伺服器通訊的責任。

AhnLab說明，駭客先掃描1433傳輸埠，以辨識那些開放的SQL Server，再進行暴力破解或字典攻擊，取得憑證後再安裝Lemon Duck等挖礦工具，同時植入Cobalt Strike作為伺服器的後門，以便永久存在於受害者組織內並進行橫向移動。

Cobalt Strike是透過SQL Server的cmd.exe與powershell.exe程序進入受害組織，於MSBuild.exe中執行，且可透過額外的設定以繞過安全產品的偵測，之後再於合法的wwanmm.dll 中寫入與執行Beacon，等待C&C伺服器的指示。

圖片來源／AhnLab

Cobalt Strike每名使用者的授權費用為3,500美元，但坊間已有不少破解版，也讓它愈來愈受駭客的青睞。AhnLab除了建議SQL Server用戶應及時修補安全漏洞之外，也提醒使用者應採用強大的密碼，築高被攻陷的門檻。