微軟SQL服務(wù)器遭黑客入侵,所有文件都被加密

發(fā)布時間 2023-04-20

近日,Microsoft SQL (MS-SQL) 服務(wù)器遭到攻擊,因其安全性較差,入侵者進(jìn)入服務(wù)器后直接安裝了 Trigona 勒索軟件,并加密了所有文件。


入侵者是利用了那些極易被猜到的帳戶憑據(jù)為突破點(diǎn),暴力攻擊了MS-SQL 服務(wù)器,并安裝了名為CLR Shell的惡意軟件,這次攻擊是被韓國網(wǎng)絡(luò)安全公司AhnLab的安全研究人員發(fā)現(xiàn)的。這種惡意軟件專門用于收集系統(tǒng)信息,還可以直接更改那些被入侵的帳戶配置。此外,該軟件還可以利用Windows輔助登錄服務(wù)中的漏洞將特權(quán)升級到LocalSystem,不過想完成這個操作需要啟動勒索軟件。AhnLab表示,CLR Shell是一種CLR匯編惡意軟件,該軟件在接收入侵者的命令后可直接執(zhí)行惡意入侵行為,運(yùn)行模式有點(diǎn)類似于web服務(wù)器的webshell。


然后入侵者會在下一階段安裝一個惡意軟件dropper,用作svcservice.exe服務(wù),繼而就能啟動Trigona勒索軟件,作為svchost.exe。此外,他們還會配置勒索軟件二進(jìn)制文件。在每次系統(tǒng)重新啟動時,通過Windows自動運(yùn)行密鑰自動啟動,以確保系統(tǒng)在重新啟動后仍處于被加密的狀態(tài)。


在拿到贖金前,這個惡意軟件會禁用系統(tǒng)針對Windows卷影副本進(jìn)行恢復(fù)、刪除的相關(guān)操作,所以要想恢復(fù)系統(tǒng)必須要有解密密鑰。