攻擊者暴力破解MSSQL后部署BlueSky勒索軟件

2022年12月，研究人員觀察到面向公眾的MSSQL Server遭到入侵，導致受害者遭遇BlueSky勒索軟件攻擊。BlueSky勒索軟件于2022年6月首次發現，具有Conti和Babuk勒索軟件的代碼鏈接。攻擊者通過MSSQL暴力攻擊獲得了訪問權限。然后，攻擊者利用Cobalt Strike和Tor2Mine執行攻擊后活動。攻擊者訪問網絡后一小時內，在整個網絡中部署了BlueSky勒索軟件。

近期，火絨安全團隊發現黑客正通過MSSQL暴破進行大規模網絡攻擊。一旦黑客攻擊成功，其不僅可以遠控用戶電腦進行任意操作，還可以下發 Mallox 勒索和挖礦軟件，并且這些軟件都經過了多層混淆加密，進一步增加了殺毒軟件的檢測難度，對用戶構成較大的威脅。目前，火絨安全產品可對上述病毒進行攔截查殺，請用戶及時更新病毒庫以進行防御。

根據分析人員的觀察，該團伙并不針對特定部門或者地區進行攻擊。密文以 base64 編碼的形式存在于二進制文件中，解碼后使用固定的密鑰進行解密。此外，各種數據備份與反惡意軟件服務也會被終止。清除日志是勒索軟件用于掩蓋蹤跡并阻礙分析人員調查的常用手段，后續就會開始加密行為。根據其網站披露的信息，受害者的行業分布排名為教育、IT、醫療保健、制造業與食品生產。

MSSQL注入和漏洞利用姿勢總結

基礎介紹Microsoft SQL Server 是微軟開發的關系型數據庫管理系統。作為數據庫服務器，它是一種軟件產品，主要功能是根據其他軟件應用程序的請求存儲和檢索數據，這些應用程序可以在同一臺計算機上運行，也可以在網絡上的另一臺計算機上運行。SQL Server 默認開放的端口是 TCP 1433。判斷數據庫類型/*?數據庫中獨有的數據表，如果頁面返回正常即可表示為?為便于管理數據庫中的權限，SQL Server 提供了若干角色，這些角色是用于對其他主體進行分組的安全主體。

支持主機存活探測、端口掃描、常見服務的爆破、ms17010、redis批量寫公鑰、計劃任務反彈shell、讀取win網卡信息、web指紋識別、web漏洞掃描、netbios探測、域控識別等功能。項目地址：http://sqlmap.org/3、多種數據庫管理工具工具一：HeidiSQLHeidiSQL 是免費軟件，其目標是易于學習。

近期，Unit 42的研究人員在分析Medusa（美杜莎）勒索軟件活動時，發現該活動的升級和勒索策略發生了很大變化。

連上Webshell后發現執行不了任何命令，連常規的set、ver、whoami等命令都不行，EXE就更不用說了。執行時會卡一段時間，沒有回顯，也不顯示：拒絕訪問，說明不是360和火絨攔的。