警惕：勒索软件正通过SQL Server 弱口令攻击服务器

腾讯安全威胁情报中心，以外部攻击者的视角，通过多种监测感知技术、安全大数据关联建模，持续针对互联网重点资产、服务的暴露面进行威胁预警，近期发现的一起勒索事件。

攻击事件概述

近日腾讯安全产品运营团队监测到，有攻击者利用SQL Server 弱口令对SQL Server 服务器展开攻击，爆破成功后，会使用C2进行控制；甚至会使服务器进入安全模式，绕过安全防护软件，植入勒索病毒，对服务器数据进行加密勒索，造成业务受损。

腾讯安全监测到的2023年 SQL Server 爆破趋势：

国内公网 SQL Server 分布情况：

攻击事件还原分析

攻击流程图：

勒索信：

1、通过对被攻击云主机的公网暴露面进行分析，该云主机安全组未做任何限制，同时绑定有公网IP；

2、通过对云主机上的应用进行分析,该云主机操作系统为：Windows Server 2012 R2，安装有ERP软件及SQL Server 2008等服务；

3、通过对C盘文件进行分析，发现C盘根目录下存在异常文件；

4、对文件生成时间附件的Windows登录日志进行分析，未发现有可疑IP登录成功的迹象，同时询问客户密码情况，基本排除通过Windows RDP爆破入侵；

5、对应用程序日志进行排查，未见异常访问日志，同时web应用目录下也未发现有webshell等木马文件；

6、经确认，SQL Server未对访问IP进行控制，在知道密码的情况下，可通过公网IP直接登录sa账号；

7、通过内置的Windows账号登录SQL Server服务器，查看SQL Server日志，发现大量登录失败日志，疑似sa账号被大量IP发起爆破，经过提取sa账号hash信息，通过公开解密渠道可获取到对应的密码，同时与用户确认，进一步确认该SQL Server服务器sa账号采用了弱密码；

8、其中日志中出现“clr enabled”及“show advanced options”，疑似开启公共语言运行时 (CLR) 集成功能，启用此功能后，可通过SQL Server执行代码。同时SQL Server 2008默认启用了xp_cmdshell功能，通过xp_cmdshell可以让系统管理员以cmd的方式执行给定的命令，并返回执行结果；

9、对.svcservice.exe文件进行分析发现，该文件会调用bcdedit关掉安全模式，然后卸载自身，再单独释放出一个bat和一个svchost.exe。bat主要用于删除系统备份；

10、对注册表进行分析，发现svcservice配置为在安全模式下也启动，存在进安全模式绕过防护软件释放svchost的情况，通过沙箱运行发现svchost会加密文件进行勒索，“how_to_decrypt.hta”即为攻击者留下的勒索信。

根据勒索信内容进行搜索，发现该勒索病毒为Trigona家族，该家族主要采用弱口令爆破等手段，入侵受害者主机进行勒索病毒投递，并添加启动项来进行持久化。

通过上述分析，可以确认，攻击者通过爆破公网的SQL Server 2008存在弱口令的sa账号，获取到SQL Server的管理权限，继而通过SQL Server的内置特性，修改启用项及注册表信息，使云主机主动进入安全模式，绕过安全防护，释放勒索病毒，加密用户数据。

IOCS:

sha256:028ce9939221955f93289f204bf156f4f1b5e8ae4b5f8ba52f0028b63754f5a5

sha256:6266f52fd95d27bdb8eb42dc72dd770e214a3fbe390d8321423c2f53cec933b8

腾讯安全专家建议

1. 定时体检云上资产，扫描端口暴露情况