行业动态

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
从RE#TURGENCE攻击活动看微软SQL服务器安全问题
2024-01-17 11:44:15 【

近日,Securonix威胁研究团队发现,一群出于经济动机的土耳其黑客正在全球范围内攻击微软SQL(MSSQL)服务器,并使用Mimic(N3ww4v3)勒索软件加密受害者的文件。这一攻击活动被称为RE#TURGENCE,主要针对欧盟、美国和拉丁美洲的目标。这一事件再次凸显了数据服务器安全问题的严重性和紧迫性。

这些攻击主要是针对配置不安全的微软SQL服务器。攻击者利用暴力攻击手段入侵在线暴露的MSSQL数据库服务器,并利用系统存储的xp_cmdshell进程生成一个与SQL Server服务帐户具有相同安全权限的Windows命令shell。攻击者使用一系列PowerShell脚本和内存反射技术部署高度混淆的CobaltStrike有效负载,最终目标是将其注入到Windows原生进程SndVol.exe中。

攻击者还下载并启动AnyDesk远程桌面应用程序作为服务,并开始收集使用Mimikatz提取的明文凭据。通过使用高级端口扫描程序扫描本地网络和Windows域,攻击将蔓延到网络上的其他设备,并使用之前窃取的凭据入侵域控制器。

攻击者最终通过AnyDesk将Mimic勒索软件有效载荷部署为自解压存档,使用合法的Everything应用程序搜索要加密的文件。Mimic将删除用于辅助加密过程的Everything二进制文件,以便主要勒索软件有效负载能完成其目标。加密过程完成后,red.exe进程会发送加密/付款通知,该通知以“—IMPORTANT—NOTICE—.txt”的文本格式保存在受害者的C盘上。

Mimic勒索软件通知中使用的电子邮件(datenklause0@gmail.com)与Phobos勒索软件存在关联。Phobos于2018年首次出现,是源自Crysis勒索软件家族的勒索软件即服务(RaaS)。

Securonix去年还曝光了另一个针对MSSQL服务器的活动(跟踪代号为DB#JAMMER),使用相同的暴力初始访问攻击并部署FreeWorld勒索软件(Mimic勒索软件的别名)。

从这些攻击活动中可以看出,数据服务器安全问题是一个复杂而紧迫的问题。企业和组织需要加强安全意识和防范措施,及时更新系统和软件补丁,减少漏洞和弱点。同时,加强网络隔离和访问控制,限制对数据服务器的访问权限,防止未经授权的访问和入侵。此外,建立完善的数据备份和恢复机制也是至关重要的,确保在遭受攻击后能够快速恢复数据和系统运行。

为了应对勒索软件攻击的威胁,企业和组织需要建立完善的安全监测和应急响应机制。通过实时监测和识别异常行为,可以及时发现和处理安全事件。此外,加强与安全社区、研究机构和供应商的合作也是必要的,可以共享威胁信息和最佳实践,共同应对勒索软件攻击的威胁。

数据服务器安全问题需要企业和组织的高度重视和积极应对。只有通过加强安全措施和规范、建立完善的数据备份和恢复机制、深入研究和应对勒索软件攻击的威胁等措施,才能降低数据服务器安全风险并确保数据的安全和完整。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇没有了 下一篇2024年网络安全趋势和预测

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800