微軟：警惕針對 MSSQL 伺服器的暴力攻擊

據Bleeping Computer網站5月18日訊息，微軟正對使用Microsoft SQL Server (MSSQL) 資料庫伺服器的使用者發出安全警告，警惕攻擊者利用弱密碼對暴露在網路上的 MSSQL發動暴力攻擊。

這已經不是MSSQL伺服器第一次成為此類攻擊的目標，但微軟安全情報團隊透露，最近觀察到的這次活動背後的攻擊者正在使用合法的sqlps.exe工具作為LOLBin（離地攻擊，living-off-the-land binary的縮寫）二進位制檔案來執行偵察命令，並將 SQL 服務的啟動模式更改為 LocalSystem 來實現無檔案永續性。

攻擊者還使用 sqlps.exe 建立新帳戶，並將其新增到 sysadmin 角色中，使他們能夠完全控制 SQL 伺服器，獲得執行其他操作的許可權，包括部署像挖礦木馬這樣的有效負載。

由於sqlps是Microsoft SQL Server 附帶的一個實用程式，它允許將 SQL Server cmdlet 作為 LOLBin 載入，使攻擊者能夠執行 PowerShell 命令，而不必擔心防禦系統檢測到他們的惡意行為。sqlps還會讓這些攻擊不留下任何痕跡，因為使用 sqlps 是繞過指令碼塊日誌記錄的有效方法，這是一種 PowerShell 功能，否則會將 cmdlet 操作記錄到 Windows 事件日誌中。

多年來，MSSQL 伺服器一直是大規模攻擊活動的主要目標之一，攻擊者每天都會試圖劫持數千臺易受攻擊的伺服器。在近兩年的攻擊事件中，攻擊者通過暴力破解，在2000多臺暴露於網路上的伺服器中安裝了挖礦軟體和遠端訪問木馬。在今年3月的攻擊報告中，攻擊者針對 MSSQL 伺服器部署了Gh0stCringe（又名 CirenegRAT）遠端訪問木馬 。

為了保護 MSSQL 伺服器免受此類攻擊，微軟建議對伺服器使用不容易被破解的強密碼，並確保伺服器始終處在防火牆的保護之下，不要被暴露至公開的網際網路絡環境中。

參考來源： https://www.bleepingcomputer.com/news/security/microsoft-warns-of-brute-force-attacks-targeting-mssql-servers/