Virus tấn công và phát tán qua SQL Server

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 17/11/21, 02:11 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 515
    Đã được thích: 243
    Điểm thành tích:
    43
    Chào các bạn, trong quá trình mình phân tích virus mình phát hiện ra một kỹ thuật virus tấn công và lợi dụng SQL Server để phát tán

    Dưới đây là mẫu virus thực tế tên Lemon Duck đã tấn công và phát tán qua rất nhiều con đường, trong phạm vi bài viết này mình tập chung vào SQL Server
    upload_2021-11-17_13-49-6.png
    xp_cmdshell
    Là một tính năng chạy các script do SQL Server cung cấp để phục vụ các mục đính như tự động động backup, restore database, copy file...Mặc định khi cài SQL Server tính năng này được tắt, tuy nhiên để tự động hóa các thao tác rất nhiều quản trị viện bật tính năng này để sử dụng

    Kịch bản tấn công phát tán virus
    Để có thể tấn công và phát tán qua SQL Server cần 2 yếu tế
    • xp_cmdshell phải được bật
    • Chiếm được tài khoản master, để kiếm được tài khoản master cách phổ biến nhất là brueforce

    upload_2021-11-17_13-37-40.png
    Dưới đây là một số password mã độc dùng để bruteforce SQL Server thông qua công 1433
    upload_2021-11-17_13-53-15.png

    Sau khi bruteforce thành công, mã độc chạy các lệnh cài đặt mã độc sang máy victim thông qua xp_cmdshell
    upload_2021-11-17_13-55-43.png

    Lời khuyên

    • Tắt xp_cmdshell khi không sử dụng
    • Đặt mật khẩu mạnh cho master và các mật khẩu khác
     

    Các file đính kèm:

    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. tgnd

    tgnd Moderator Thành viên BQT

    Tham gia: 18/08/21, 10:08 AM
    Bài viết: 17
    Đã được thích: 15
    Điểm thành tích:
    3
    [​IMG]
    Đẻ ra mấy con fileless này đây mà @@
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Tags: