據(jù)報道稱，微軟正對使用Microsoft SQL Server (MSSQL) 數(shù)據(jù)庫服務(wù)器的用戶發(fā)出安全警告，警惕攻擊者利用弱密碼對暴露在網(wǎng)絡(luò)上的 MSSQL發(fā)動暴力攻擊。

這已經(jīng)不是MSSQL服務(wù)器第一次成為此類攻擊的目標(biāo)，但微軟安全情報團隊透露，最近觀察到的這次活動背后的攻擊者正在使用合法的sqlps.exe工具作為LOLBin(離地攻擊，living-off-the-land binary的縮寫)二進制文件來運行偵察命令，并將 SQL 服務(wù)的啟動模式更改為 LocalSystem 來實現(xiàn)無文件持久性。

攻擊者還使用 sqlps.exe 創(chuàng)建新帳戶，并將其添加到 sysadmin 角色中，使他們能夠完全控制 SQL 服務(wù)器，獲得執(zhí)行其他操作的權(quán)限，包括部署像挖礦木馬這樣的有效負載。

由于sqlps是Microsoft SQL Server 附帶的一個實用程序，它允許將 SQL Server cmdlet 作為 LOLBin 加載，使攻擊者能夠執(zhí)行 PowerShell 命令，而不必擔(dān)心防御系統(tǒng)檢測到他們的惡意行為。sqlps還會讓這些攻擊不留下任何痕跡，因為使用 sqlps 是繞過腳本塊日志記錄的有效方法，這是一種 PowerShell 功能，否則會將 cmdlet 操作記錄到 Windows 事件日志中。

多年來，MSSQL 服務(wù)器一直是大規(guī)模攻擊活動的主要目標(biāo)之一，攻擊者每天都會試圖劫持數(shù)千臺易受攻擊的服務(wù)器。在近兩年的攻擊事件中，攻擊者通過暴力破解，在2000多臺暴露于網(wǎng)絡(luò)上的服務(wù)器中安裝了挖礦軟件和遠程訪問木馬。在今年3月的攻擊報告中，攻擊者針對 MSSQL 服務(wù)器部署了Gh0stCringe(又名 CirenegRAT)遠程訪問木馬 。

為了保護 MSSQL 服務(wù)器免受此類攻擊，微軟建議對服務(wù)器使用不容易被破解的強密碼，并確保服務(wù)器始終處在防火墻的保護之下，不要被暴露至公開的互聯(lián)網(wǎng)絡(luò)環(huán)境中。