锁定微软SQL Server服务器下手的攻击行动,不时有事故传出,但过往多半会聚焦在攻击者如何入侵这种关系数据库,如今有研究人员发现,黑客对于后续如何持续存取受害主机的方法,也出现了变化。
由于这种应用系统通常会架设在Windows服务器,黑客在攻击行动里往往会滥用远程管理工具进行后续活动,其中最常见的是AnyDesk、TeamViewer,但在近期资安业者AhnLab揭露的攻击行动里,黑客罕见地使用了GotoHTTP。
这些黑客先是寻找使用弱密码,而且曝露于互联网的SQL Server下手,成功入侵便部署CLR SqlShell,此作案工具功能类似黑客攻击网页服务器的Web Shell,能让攻击者控制SQL Server并运行各式恶意行为。
接着,黑客使用whoami.exe、systeminfo.exe、netstat.exe进行侦察,收集网络信息,然后植入PetitPotato、SweetPotato、JuicyPotato等工具提升权限,并借由恶意程序窜改现有帐号的密码,或是添加用于远程存取的用户帐号。
值得留意的是,这些黑客最终部署了GotoHTTP,并存取该远程管理系统的组态文件gotohttp.ini,来进行后续攻击行动。研究人员指出,这起攻击事故突显黑客倾向改用合法的远程管理软件,通过使用者介面进行后续控制,再者,黑客不再只是偏好使用AnyDesk,而是开始物色其他同类型的应用程序,使得相关攻击变得更难捉摸。



2024-10-08
