新型SQL Server无文件持久化恶意程序
发布时间:2021-04-12 15:55:43 所属栏目:传媒 来源:互联网
导读:攻击者利用某些应用程序供应商的数据库默认密码及不严谨配置入侵SQL Server数据库; 在登入数据库后,创建SQL Server代理作业周期性执行SQL语句调用恶意的用户自定义函数; 用一种特殊的方式将恶意代码以CLR程序集的形式加载进数据库,实现通过用户自定义函数
威 胁 分 析传统的持久化技术、恶意代码加载方式早已被所有主机安全产品列为重点监控范围,很容易被发现并清除掉:
不同的是,此次新型恶意程序将两种SQL Server内置功能巧妙结合用于恶意软件持久化,实现了在无文件落地、无额外进程的情况下保持对云主机的持久化控制,将恶意活动完全隐藏在用户正常业务所需要的SQL Server数据库进程内部。 那么,这一恶意程序是怎么做到的呢? 利用代理作业实现无异常周期性循环执行 SQL Server代理作业原本的用途是方便用户进行数据库运维,通过设置执行计划和执行步骤来实现周期性的执行脚本程序或SQL语句。以往会利用此功能的攻击者或恶意软件会直接用代理作业执行一段恶意命令或恶意脚本,极易被运维管理员发现。
但是该后门的实施者,在创建代理作业后,仅执行了一句很短的SQL语句,将后门隐藏在另一个用户自定义函数SqlManagement背后,隐蔽性很强。 (编辑:常州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
热点阅读