新型SQL Server无文件持久化恶意程序

• 攻击者利用某些应用程序供应商的数据库默认密码及不严谨配置入侵SQL Server数据库;
• 在登入数据库后，创建SQL Server代理作业周期性执行SQL语句调用恶意的用户自定义函数;
• 用一种特殊的方式将恶意代码以CLR程序集的形式加载进数据库，实现通过用户自定义函数调用恶意的CLR程序集;
• 已创建的SQL Server代理作业自动周期性的调用恶意CLR程序集，实现恶意代码持久化。

威 胁 分 析

传统的持久化技术、恶意代码加载方式早已被所有主机安全产品列为重点监控范围，很容易被发现并清除掉：

• 利用操作系统内置的计划任务、系统服务、自启动项等方式进行持久化;
• 直接在磁盘上放置恶意程序文件;
•  利用系统内置的工具程序加载恶意代码到内存中执行。

不同的是，此次新型恶意程序将两种SQL Server内置功能巧妙结合用于恶意软件持久化，实现了在无文件落地、无额外进程的情况下保持对云主机的持久化控制，将恶意活动完全隐藏在用户正常业务所需要的SQL Server数据库进程内部。

那么，这一恶意程序是怎么做到的呢?

利用代理作业实现无异常周期性循环执行

SQL Server代理作业原本的用途是方便用户进行数据库运维，通过设置执行计划和执行步骤来实现周期性的执行脚本程序或SQL语句。以往会利用此功能的攻击者或恶意软件会直接用代理作业执行一段恶意命令或恶意脚本，极易被运维管理员发现。

但是该后门的实施者，在创建代理作业后，仅执行了一句很短的SQL语句，将后门隐藏在另一个用户自定义函数SqlManagement背后，隐蔽性很强。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!