一.摘要

目前勒索软件针对Microsoft SQL服务器主要通过暴力破解MS SQL服务器获得最初对受害主机的访问，使用它来枚举数据库，并利用xp_cmdshell配置选项来运行shell命令和进行侦查，同时还会削弱防火墙的功能并建立持久性，同时勒索软件还会连接到远程SMB共享以在受害系统之间传输文件和安装恶意工具。

二.Microsoft SQL服务器常见漏洞

Microsoft SQL是美国微软公司推出的关系型数据库管理系统，该数据库有以下一些常被勒索软件利用的漏洞：

• 弱口令漏洞 - 很多组织使用弱密码或保留默认密码，让攻击者轻松猜解获取访问。

• SQL注入漏洞 - 可通过构造特殊SQL语句注入到输入参数，执行非授权的查询或获取shell。

• 远程代码执行漏洞 - 如CVE-2022-21907、CVE-2020-1048,允许远程未认证攻击者执行任意代码。

• 服务提权漏洞 - 如CVE-2020-1533，可让低权限SQL服务帐户获得系统级权限。

• 未正确配置实例漏洞 - 公网可以直接访问未正确限制端口和访问控制的SQL实例。

• 缓冲区溢出漏洞 - 可用于获得服务执行权限或绕过登录认证。

• 组件漏洞 - 如搜索服务、SSRS报表服务器等组件的远程代码执行漏洞。

• 序列化/反序列化漏洞 - 可通过特制的序列化对象利用。

• 目录遍历漏洞 - 结合文件写入可实现任意代码执行。

• 加密算法弱点 - 利用加密或散列算法的弱点实现密码破解。

三.勒索软件攻击手段

目前勒索软件攻击Microsoft SQL服务器的一些常见技术手段包括：

• 利用弱口令或默认配置来获取入侵。很多组织没有更改默认的sql用户口令，这给攻击者可乘之机。

• 利用已知的SQL注入漏洞。通过构造特殊的SQL语句注入到网页参数，可以获取数据库访问权限。

• 通过暴力破解获取访问权限。利用密码破解工具大量尝试不同密码，获取sql登录权限。

• 利用漏洞执行代码。例如CVE-2022-21907远程代码执行漏洞，允许未经身份验证的攻击者以高权限执行代码。

• 利用钓鱼邮件传播木马。包含恶意宏或脚本的Office文档，被用户打开后，可在系统后台安装勒索软件。

• 水平移动，从已入侵的系统获取SQL服务权限。

• 删除或加密备份，破坏数据恢复能力。

• 加密数据库文件，使数据不可读取。

• 修改数据，插入勒索信息，敲诈支付赎金。

• 利用数据库连接漏洞，从互联网直接访问数据库服务器。

勒索软件在攻击过程中会利用自身的攻击载荷展开攻击, 其攻击载荷主要包括：

• 加密程序：用于加密受害者重要数据的算法，是勒索软件的核心组件，如AES、RSA等加密算法。

• 勒索信：包含支付赎金要求的文本文件，通常放在每个加密文件的同目录下。

• 勒索说明：详细说明勒索过程的文本文件或网页，包括支付流程、恢复说明等。

• 恢复密钥生成器：如果支付赎金，用于解密文件恢复数据的密钥生成工具。

• 系统监控组件：监视受害系统进程、网络连接、防病毒软件等，帮助勒索软件避开检测。

• 自删除组件：完成加密后，删除勒索软件自身，试图摧毁证据。

• 网络传播模块：利用漏洞进行横向移动，感染更多系统。

• DDoS模块：用于发动分布式拒绝服务攻击，增加敲诈压力。

• 数据窃取模块：窃取敏感数据，以进行双重勒索。

• 后门程序：维持对系统的长期控制访问。