绝色狂妃仙魅小说,玄幻小说排行榜

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

解密新型SQLServer無文件持久化惡意程序

近期，阿里云云安全中心基于全新的深度威脅檢測功能，監(jiān)測到云上部分用戶的 SQL Server 數(shù)據(jù)庫內(nèi)部隱藏著一種新型的持久化后門程序。

公司主營業(yè)務(wù)：網(wǎng)站設(shè)計制作、成都網(wǎng)站設(shè)計、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊有機(jī)會用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)推出剛察免費做網(wǎng)站回饋大家。

攻擊者利用弱口令不嚴(yán)謹(jǐn)配置，以非常簡單的攻擊方法進(jìn)入數(shù)據(jù)庫，即可植入該后門，更致命的是，該后門高度隱蔽和持久化控制的特性，讓發(fā)現(xiàn)和清除變得困難。

威脅特點

植入簡單

利用數(shù)據(jù)庫弱密碼或不嚴(yán)謹(jǐn)配置，攻擊者只需簡單的弱口令利用，即可輕松登錄進(jìn)用戶的數(shù)據(jù)庫植入該后門程序;

高度隱蔽

該后門完全隱藏在SQL Server數(shù)據(jù)庫進(jìn)程內(nèi)部，無文件落地、無額外進(jìn)程，運(yùn)維管理人員很難定位到后門真正所在;

持久化控制

該惡意后門持續(xù)不斷地向云主機(jī)內(nèi)部植入挖礦病毒等其他惡意程序，使管理員陷入病毒殺不完、懷疑有漏洞的困境;

查殺困難

簡單的弱口令漏洞修復(fù)和已有惡意文件查殺根本無法實現(xiàn)對惡意程序來源的清除，即使重啟數(shù)據(jù)庫服務(wù)、甚至重啟云主機(jī)，由于真正的隱藏后門沒有完全清除，還是會有病毒源源不斷的被植入主機(jī)。

攻擊流程

攻擊者利用某些應(yīng)用程序供應(yīng)商的數(shù)據(jù)庫默認(rèn)密碼及不嚴(yán)謹(jǐn)配置入侵SQL Server數(shù)據(jù)庫;
在登入數(shù)據(jù)庫后，創(chuàng)建SQL Server代理作業(yè)周期性執(zhí)行SQL語句調(diào)用惡意的用戶自定義函數(shù);
用一種特殊的方式將惡意代碼以CLR程序集的形式加載進(jìn)數(shù)據(jù)庫，實現(xiàn)通過用戶自定義函數(shù)調(diào)用惡意的CLR程序集;
已創(chuàng)建的SQL Server代理作業(yè)自動周期性的調(diào)用惡意CLR程序集，實現(xiàn)惡意代碼持久化。

威脅分析

傳統(tǒng)的持久化技術(shù)、惡意代碼加載方式早已被所有主機(jī)安全產(chǎn)品列為重點監(jiān)控范圍，很容易被發(fā)現(xiàn)并清除掉：

利用操作系統(tǒng)內(nèi)置的計劃任務(wù)、系統(tǒng)服務(wù)、自啟動項等方式進(jìn)行持久化;
直接在磁盤上放置惡意程序文件;
利用系統(tǒng)內(nèi)置的工具程序加載惡意代碼到內(nèi)存中執(zhí)行。

不同的是，此次新型惡意程序?qū)煞NSQL Server內(nèi)置功能巧妙結(jié)合用于惡意軟件持久化，實現(xiàn)了在無文件落地、無額外進(jìn)程的情況下保持對云主機(jī)的持久化控制，將惡意活動完全隱藏在用戶正常業(yè)務(wù)所需要的SQL Server數(shù)據(jù)庫進(jìn)程內(nèi)部。

那么，這一惡意程序是怎么做到的呢?

利用代理作業(yè)實現(xiàn)無異常周期性循環(huán)執(zhí)行

SQL Server代理作業(yè)原本的用途是方便用戶進(jìn)行數(shù)據(jù)庫運(yùn)維，通過設(shè)置執(zhí)行計劃和執(zhí)行步驟來實現(xiàn)周期性的執(zhí)行腳本程序或SQL語句。以往會利用此功能的攻擊者或惡意軟件會直接用代理作業(yè)執(zhí)行一段惡意命令或惡意腳本，極易被運(yùn)維管理員發(fā)現(xiàn)。

但是該后門的實施者，在創(chuàng)建代理作業(yè)后，僅執(zhí)行了一句很短的SQL語句，將后門隱藏在另一個用戶自定義函數(shù)SqlManagement背后，隱蔽性很強(qiáng)。

作業(yè)名稱：

 
 
 
  
  
  syspolicy_sqlmanagement_history

執(zhí)行計劃名稱：

 
 
 
  
  
  schedule_sqlmanagement

執(zhí)行步驟名稱：

 
 
 
  
  
  sqlmanagement

執(zhí)行步驟內(nèi)容：

 
 
 
  
  
  select dbo.SqlManagement(0)

利用CLR程序集實現(xiàn)高隱蔽性

代理作業(yè)中的SQL語句要執(zhí)行的惡意的用戶自定義函數(shù)SqlManagement，背后對應(yīng)的是一個CLR程序集 Microsft.SqlServer.Management。該功能原本用途是方便高級數(shù)據(jù)庫管理員擴(kuò)展數(shù)據(jù)庫功能，攻擊者利用該技術(shù)可以實現(xiàn)在SQL中調(diào)用自定義的惡意C#程序。

以往植入新的CLR程序集需要先將惡意程序?qū)懭氪疟P，很容易被殺毒軟件發(fā)現(xiàn)，攻擊者使用了一種特殊的寫入方式，直接使用SQL寫入C#程序的16進(jìn)制流，將程序加載到數(shù)據(jù)庫中。結(jié)合SQL Server 代理作業(yè)功能，即可實現(xiàn)在數(shù)據(jù)庫進(jìn)程內(nèi)部持久化周期執(zhí)行惡意的C#程序。

使用SQL將C#惡意程序直接載入數(shù)據(jù)庫示例：

CREATE ASSEMBLY [Microsft.SqlServer.Management] AUTHORIZATION [dbo] FROM

 
 
 
  
  
  CREATE ASSEMBLY [Microsft.SqlServer.Management] AUTHORIZATION [dbo] FROM   
  
  0x4D5A90000300000004000000FFFF0000B800000000000000400000000000000000000000000000000000000000000000000000000000000000000000800000000
E1FBA0E00B409CD21B8014CCD21546869732070726F6772616D2063616E6E6F742062652072756E20696E20444F53206D6F64652E0D0D0A2400000000000000
504500004C010300777C565F0000000000000000E00022200B013000001E00000006000000000000 (后續(xù)省略)

還原出的反編譯的CLR程序集進(jìn)行分析，發(fā)現(xiàn)核心功能是從用戶自定義函數(shù) SqlManagement 開始，最終調(diào)用至SendAndReceiveFromServerBuffer 函數(shù)從vihansoft.ir周期性下載惡意程序并執(zhí)行，執(zhí)行流程全部隱藏在SQL Server應(yīng)用內(nèi)，安全運(yùn)維人員難以發(fā)現(xiàn)。

惡意后門檢測與清理

阿里云安全中心用戶，只需進(jìn)行簡單配置，即可實現(xiàn)對新型SQLServer無文件持久化惡意程序的深度檢測、發(fā)現(xiàn)、溯源和清理。

1.云環(huán)境深度威脅檢測技術(shù)

針對云上主流應(yīng)用進(jìn)行深度檢測，尤其是針對Microsoft SQL Server等常見應(yīng)用，云安全中心可以深入應(yīng)用內(nèi)部，在不打擾應(yīng)用運(yùn)行的情況下，對潛在的風(fēng)險項進(jìn)行掃描，無感發(fā)現(xiàn)無文件、無額外進(jìn)程的高度隱蔽惡意程序，識別該后門的惡意域名。

2.自動化威脅溯源

云安全中心后臺系統(tǒng)基于多種主機(jī)進(jìn)程行為分析，通過異構(gòu)數(shù)據(jù)關(guān)聯(lián)、圖引擎計算、惡意行為模式聚類等方式，層層推進(jìn)還原出原始觸發(fā)點或根據(jù)聚類分析結(jié)果進(jìn)行推理還原，自動化追溯威脅源頭。

3.一點檢測全網(wǎng)聯(lián)動防御

威脅源頭信息共享在全網(wǎng)的“檢測模式”類威脅情報網(wǎng)絡(luò)中，只要在一臺主機(jī)上確認(rèn)該后門特征，其他主機(jī)在掃描時也能快速識別該后門程序。同時發(fā)現(xiàn)該后門曾經(jīng)植入的后續(xù)其他惡意文件。

4.一鍵深度清理

針對此類特殊后門，云安全中心支持一鍵清理，可以深入到SQL Server應(yīng)用內(nèi)部，精準(zhǔn)處理掉該后門程序。

拓展安全建議

此次發(fā)現(xiàn)的新型持久化惡意程序，攻擊者主要針對云上SQL Server服務(wù)發(fā)動攻擊，除了常規(guī)的弱口令爆破外，入侵者還會嘗試某些應(yīng)用服務(wù)供應(yīng)商的數(shù)據(jù)庫初始化口令。

用戶不單單需要關(guān)注自身管理數(shù)據(jù)庫服務(wù)是否存在弱口令，還需警惕應(yīng)用服務(wù)供應(yīng)商的默認(rèn)口令被入侵，做好日常安全基線檢查與安全加固，防患于未然。

新聞名稱：解密新型SQLServer無文件持久化惡意程序
URL分享：http://m.fisionsoft.com.cn/article/dhihhoc.html