微軟SQL服務(wù)器遭黑客入侵,所有文件都被加密

發(fā)布時(shí)間 2023-04-20

近日,Microsoft SQL (MS-SQL) 服務(wù)器遭到攻擊,因其安全性較差,入侵者進(jìn)入服務(wù)器后直接安裝了 Trigona 勒索軟件,并加密了所有文件。


入侵者是利用了那些極易被猜到的帳戶憑據(jù)為突破點(diǎn),暴力攻擊了MS-SQL 服務(wù)器,并安裝了名為CLR Shell的惡意軟件,這次攻擊是被韓國(guó)網(wǎng)絡(luò)安全公司AhnLab的安全研究人員發(fā)現(xiàn)的。這種惡意軟件專門用于收集系統(tǒng)信息,還可以直接更改那些被入侵的帳戶配置。此外,該軟件還可以利用Windows輔助登錄服務(wù)中的漏洞將特權(quán)升級(jí)到LocalSystem,不過想完成這個(gè)操作需要啟動(dòng)勒索軟件。AhnLab表示,CLR Shell是一種CLR匯編惡意軟件,該軟件在接收入侵者的命令后可直接執(zhí)行惡意入侵行為,運(yùn)行模式有點(diǎn)類似于web服務(wù)器的webshell。


然后入侵者會(huì)在下一階段安裝一個(gè)惡意軟件dropper,用作svcservice.exe服務(wù),繼而就能啟動(dòng)Trigona勒索軟件,作為svchost.exe。此外,他們還會(huì)配置勒索軟件二進(jìn)制文件。在每次系統(tǒng)重新啟動(dòng)時(shí),通過Windows自動(dòng)運(yùn)行密鑰自動(dòng)啟動(dòng),以確保系統(tǒng)在重新啟動(dòng)后仍處于被加密的狀態(tài)。


在拿到贖金前,這個(gè)惡意軟件會(huì)禁用系統(tǒng)針對(duì)Windows卷影副本進(jìn)行恢復(fù)、刪除的相關(guān)操作,所以要想恢復(fù)系統(tǒng)必須要有解密密鑰。