绕过杀软!SQL Server Transact-SQL 的无文件攻击姿势
背景概述
近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破SQL Server服务器后,利用sqlserver Transact-SQL存储C#编译恶意代码,通过MSSQL作业定时执行存储过程,在受害主机下载恶意程序。
排查过程
排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行:
排查注册表启动项,存在一个BGClient
转载
2020-08-04 11:45:15 ·
726 阅读 ·
0 评论