微軟SQL服務器遭黑客入侵,所有文件都被加密
發布時間 2023-04-20近日,Microsoft SQL (MS-SQL) 服務器遭到攻擊,因其安全性較差,入侵者進入服務器后直接安裝了 Trigona 勒索軟件,并加密了所有文件。
入侵者是利用了那些極易被猜到的帳戶憑據為突破點,暴力攻擊了MS-SQL 服務器,并安裝了名為CLR Shell的惡意軟件,這次攻擊是被韓國網絡安全公司AhnLab的安全研究人員發現的。這種惡意軟件專門用于收集系統信息,還可以直接更改那些被入侵的帳戶配置。此外,該軟件還可以利用Windows輔助登錄服務中的漏洞將特權升級到LocalSystem,不過想完成這個操作需要啟動勒索軟件。AhnLab表示,CLR Shell是一種CLR匯編惡意軟件,該軟件在接收入侵者的命令后可直接執行惡意入侵行為,運行模式有點類似于web服務器的webshell。
然后入侵者會在下一階段安裝一個惡意軟件dropper,用作svcservice.exe服務,繼而就能啟動Trigona勒索軟件,作為svchost.exe。此外,他們還會配置勒索軟件二進制文件。在每次系統重新啟動時,通過Windows自動運行密鑰自動啟動,以確保系統在重新啟動后仍處于被加密的狀態。
在拿到贖金前,這個惡意軟件會禁用系統針對Windows卷影副本進行恢復、刪除的相關操作,所以要想恢復系統必須要有解密密鑰。
