文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Mimic勒索软件攻击全球微软SQL服务器

2024-11-30 02:55

关注

这些正在进行的攻击代号为RE#TURGENCE,主要针对欧盟、美国和拉丁美洲的目标。

发现该活动的Securonix威胁研究团队表示:“分析显示,此类攻击活动的结束方式主要有两种:要么出售受感染主机的访问权,要么最终交付勒索软件有效负载。”

“从初始访问到部署Mimic勒索软件,事件发生的时间周期大约为一个月。”

针对目标:配置不安全的微软SQL服务器

据报道,攻击者主要通过暴力攻击入侵在线暴露的,配置不安全的MSSQL数据库服务器。然后使用系统存储的xp_cmdshell进程生成一个与SQL Server服务帐户具有相同安全权限的Windows命令shell。

xp_cmdshell默认处于禁用状态,因为恶意行为者经常使用它来提升权限,而且启动该进程通常会触发安全审核工具。

在下一阶段,攻击者使用一系列PowerShell脚本和内存反射技术部署高度混淆的CobaltStrike有效负载,最终目标是将其注入到Windows原生进程SndVol.exe中。

攻击者还下载并启动AnyDesk远程桌面应用程序作为服务,然后开始收集使用Mimikatz提取的明文凭据。

使用高级端口扫描程序扫描本地网络和Windows域后,攻击将蔓延到网络上的其他设备,并使用之前窃取的凭据入侵域控制器。

通过AnyDesk投放勒索软件

然后,攻击者通过AnyDesk将Mimic勒索软件有效载荷部署为自解压存档,使用合法的Everything应用程序搜索要加密的文件,该技术于2023年1月首次被安全人员观察到。

“Mimic将删除用于辅助加密过程的Everything二进制文件。在我们的案例中,Mimic投放程序‘red25.exe’删除了所有必要的文件,以便主要勒索软件有效负载能完成其目标,”Securonix表示。

“加密过程完成后,red.exe进程会发送加密/付款通知,该通知以“—IMPORTANT—NOTICE—.txt”的文本格式保存在受害者的C盘上。”

安全媒体BleepingComputer发现,Mimic勒索软件通知中使用的电子邮件(datenklause0@gmail.com)与Phobos勒索软件存在关联。Phobos于2018年首次出现,是源自Crysis勒索软件家族的勒索软件即服务(RaaS)。

Securonix去年还曝光了另一个针对MSSQL服务器的活动(跟踪代号为DB#JAMMER),使用相同的暴力初始访问攻击并部署FreeWorld勒索软件(Mimic勒索软件的别名)。

来源:GoUpSec内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯